原文地址：https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

几天前的4月25日，在研究的过程中，我发现很多个人和公司都把他们的敏感信息放在他们的公共Trello boards上。例如未修复的错误和安全漏洞、他们的社交媒体账号、电子邮件账号、服务器和管理仪表盘的凭证— 你能想到的，都可以在他们的Public Trello boards上找到，所有搜索引擎都在索引这些信息，任何人都可以很容易地找到它们。

我是如何发现这个的

我使用以下搜索参数来搜索运行Bug Bounty Programs的公司的Jira实例:

inurl:jira AND intitle:login AND inurl:[company_name]

注意：我使用了Google dork查询，有时也被称为dork。它是一个使用高级搜索运算符的搜索字符串，用来查找网上难以找到的信息。

我输入Trello替换掉[company name]。.Google展示了一些在Trello Boards上的结果。他们的可见性设置为Public，并且他们向一些Jira实例显示了详细登陆信息。当时是UTC时间上午8点19分左右。

我非常震惊和惊讶

为什么会有这个问题呢？Trello是一个用于管理项目和个人任务的在线工具。它有用于管理这些项目和任务的Boards。用户可以将其boards的可见性设置为Private或者Public。

在发现这个漏洞后，我在想 — 为什么不检查其他安全问题，如电子邮件帐户凭证。

我继续修改我的查询参数，将重点放在包含Gmail帐号密码的Trello Boards上。

inurl:https://trello.com AND intext:@gmail.com AND intext:password

那么SSH和FTP呢？

inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password

我还发现了什么

在花了几个小时使用这个技巧之后，我有了更多惊人的发现，我一直在修改我的查询参数。

一些公司使用Public Trello boards来管理其应用程序和网站中发现的错误和安全漏洞。

人们也用Public Trello boards作为组织凭证的公共密码管理器。

一些例子包括服务器、CMS、CRM、商业电子邮件、社交媒体帐号、网站分析、Stripe、AdWords帐号等等。

这是另一个例子：
一个非政府组织分享他们的捐赠者管理软件(数据库)的登录细节，其中包含许多PII(个人身份信息)，以及捐赠者和财务记录等细节

在那之前，我没有专注于任何特定的公司或Bug赏金计划。

但是在我发现这件事之后的九个小时，我发现了近25家公司的联系方式，它们泄露了一些非常敏感的信息。所以我报告了他们。找到其中一些人的联系方式是一项无聊而富有挑战性的任务。

我在bug bounty hunters和一个信息安全网站的私人博客上发表了这篇文章。在发现这种Trello技术之后，我也发了推文，那里的人们和我一样惊讶。

然后人们开始告诉我，他们通过我分享的Trello技术发现了一些很酷的东西，比如商业邮件、Jira凭证和Bug Bounty的内部敏感信息。

在发现这种Trello技术近10个小时后，我开始专门测试运行Bug Bounty程序的公司。然后我开始使用这种查询参数检查一家著名的拼车公司。

inurl:https://trello.com AND intext:[company_name]

我立即找到了一个Trello board ，上面有一个雇员的商业电子邮件账户的登录信息，还有一个包含一些内部信息。

为了验证这一点，我联系了他们的安全团队。他们说，就在我之前，他们收到了一份关于董事会的报告，其中包括一名员工的电子邮件凭证，以及另一个董事会的一些内部信息。安全团队让我提交一份完整的报告给他们，因为这是一个新的发现。

不幸的是，我的报告被抄袭了。拼车公司后来发现他们已经收到了我发现的关于Trello board的报告。

在接下来的几天里，我又向另外15家公司报告了关于他们Trello boards的问题，这些问题泄露了关于他们组织高度敏感的信息。有些是大公司，但很多都没有运行Bug Bounty项目。

然而，15家公司中有一家正在运行Bug Bounty计划，因此我通过它向他们提交报告。不幸的是，他们没有奖励我，因为这是一个他们目前不会奖励的问题。

更新 - 2018年5月18日：
就在前几天，我发现了许多包含政府敏感信息（包括登录详情！）的Public Trello Boards。惊人！

2018年8月17日更新：
最近几个月，我发现英国和加拿大政府共有50个Trello Boards，其中包含内部机密信息和证书。在这里写了一篇关于它的详细文章。

2018年9月24日更新：

8月份，我发现了60个Public Trello Boards，一个Public Jira和许多联合国Google文档，其中包含多个FTP服务器，社交媒体和电子邮件帐户的凭据，许多内部交流的文档。在这里写了一篇关于它的详细文章。

感谢您阅读我的故事。
如果你喜欢这篇文章，请给我一些鼓励
你可以在Twitter上关注我