原文地址:https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

几天前的4月25日,在研究的过程中,我发现很多个人和公司都把他们的敏感信息放在他们的公共Trello boards上。例如未修复的错误和安全漏洞、他们的社交媒体账号、电子邮件账号、服务器和管理仪表盘的凭证— 你能想到的,都可以在他们的Public Trello boards上找到,所有搜索引擎都在索引这些信息,任何人都可以很容易地找到它们。

我是如何发现这个的

我使用以下搜索参数来搜索运行Bug Bounty Programs的公司的Jira实例:

inurl:jira AND intitle:login AND inurl:[company_name]

注意:我使用了Google dork查询,有时也被称为dork。它是一个使用高级搜索运算符的搜索字符串,用来查找网上难以找到的信息。

我输入Trello替换掉[company name]。.Google展示了一些在Trello Boards上的结果。他们的可见性设置为Public,并且他们向一些Jira实例显示了详细登陆信息。当时是UTC时间上午8点19分左右。

我非常震惊和惊讶

为什么会有这个问题呢?Trello是一个用于管理项目和个人任务的在线工具。它有用于管理这些项目和任务的Boards。用户可以将其boards的可见性设置为Private或者Public。

在发现这个漏洞后,我在想 — 为什么不检查其他安全问题,如电子邮件帐户凭证。

我继续修改我的查询参数,将重点放在包含Gmail帐号密码的Trello Boards上。

inurl:https://trello.com AND intext:@gmail.com AND intext:password


那么SSH和FTP呢?

inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password

我还发现了什么

在花了几个小时使用这个技巧之后,我有了更多惊人的发现,我一直在修改我的查询参数。

一些公司使用Public Trello boards来管理其应用程序和网站中发现的错误和安全漏洞。

人们也用Public Trello boards作为组织凭证的公共密码管理器。

一些例子包括服务器、CMS、CRM、商业电子邮件、社交媒体帐号、网站分析、Stripe、AdWords帐号等等。

这是另一个例子:
一个非政府组织分享他们的捐赠者管理软件(数据库)的登录细节,其中包含许多PII(个人身份信息),以及捐赠者和财务记录等细节

在那之前,我没有专注于任何特定的公司或Bug赏金计划。

但是在我发现这件事之后的九个小时,我发现了近25家公司的联系方式,它们泄露了一些非常敏感的信息。所以我报告了他们。找到其中一些人的联系方式是一项无聊而富有挑战性的任务。

我在bug bounty hunters和一个信息安全网站的私人博客上发表了这篇文章。在发现这种Trello技术之后,我也发了推文,那里的人们和我一样惊讶。

然后人们开始告诉我,他们通过我分享的Trello技术发现了一些很酷的东西,比如商业邮件、Jira凭证和Bug Bounty的内部敏感信息。

在发现这种Trello技术近10个小时后,我开始专门测试运行Bug Bounty程序的公司。然后我开始使用这种查询参数检查一家著名的拼车公司。

inurl:https://trello.com AND intext:[company_name]

我立即找到了一个Trello board ,上面有一个雇员的商业电子邮件账户的登录信息,还有一个包含一些内部信息。

为了验证这一点,我联系了他们的安全团队。他们说,就在我之前,他们收到了一份关于董事会的报告,其中包括一名员工的电子邮件凭证,以及另一个董事会的一些内部信息。安全团队让我提交一份完整的报告给他们,因为这是一个新的发现。

不幸的是,我的报告被抄袭了。拼车公司后来发现他们已经收到了我发现的关于Trello board的报告。

在接下来的几天里,我又向另外15家公司报告了关于他们Trello boards的问题,这些问题泄露了关于他们组织高度敏感的信息。有些是大公司,但很多都没有运行Bug Bounty项目。

然而,15家公司中有一家正在运行Bug Bounty计划,因此我通过它向他们提交报告。不幸的是,他们没有奖励我,因为这是一个他们目前不会奖励的问题。

更新 - 2018年5月18日:
就在前几天,我发现了许多包含政府敏感信息(包括登录详情!)的Public Trello Boards。惊人!

2018年8月17日更新:
最近几个月,我发现英国和加拿大政府共有50个Trello Boards,其中包含内部机密信息和证书。在这里写了一篇关于它的详细文章。

2018年9月24日更新:

8月份,我发现了60个Public Trello Boards,一个Public Jira和许多联合国Google文档,其中包含多个FTP服务器,社交媒体和电子邮件帐户的凭据,许多内部交流的文档。在这里写了一篇关于它的详细文章。

感谢您阅读我的故事。
如果你喜欢这篇文章,请给我一些鼓励
你可以在Twitter上关注我

点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖