Hoy os traemos un artículo diferente, uno de esos que salen de dentro, de esos que pretenden concienciar y enseñar.
Mucha gente del sector conoce esto, pero este artículo está dedicado a aquellos que no.
Antes de comenzar y disclaimer:
¿Significa esto que solo aplica a Trello?
No, debemos siempre configurar adecuadamente las opciones de privacidad según correspondan en cada una de las aplicaciones que usemos.
¿Qué es Trello?
Es un software de administración de proyectos con interfaz web y con cliente para iOS y android para organizar proyectos.
¿Significa que lo que vamos a ver nos puede servir para realizar cualquier tipo de actividad delictiva?
No, este artículo ha sido realizado con el fin de concienciar e investigar.
Recabando algunos datos, incluso de la competencia
Realizadas las aclaraciones pertinentes, podemos proceder a explicar lo que nos atañe.
Imaginemos que tenemos un proyecto creado en Trello y lo compartimos con nuestros compañeros, pero lo dejamos como documento público.
¿Qué podría pasar?
Ahora somos un malo, un ciberdelincuente que quiere saber información sobre nuestra empresa o pretende conseguir nuestros datos personales con el fin de usarlos más adelante… Comenzamos a recabar datos, a buscar y obtenemos lo siguiente:
Los datos de clientes expuestos, datos de empresas, etc. En este caso de arriba, pueden verse documentos con nombre, firma, fecha de nacimiento, teléfonos, identificadores personales (DNIs, Cédulas, etc).
En la siguiente foto os dejamos con una identificación de la República de Paraguay.
Para encontrar esta información no hace falta mucho tiempo, lleva apenas unos segundos, simplemente poniendo las palabras adecuadas en el buscador de Google basta.
En términos del sector: podemos hacer uso de Google Hacking para mediante dorks encontrar documentos expuestos.
E incluso se puede ver lo que hace la competencia… 😛 .
Como se puede ver a la izquierda, podemos ver supuesta información de lo que están haciendo otras empresas del sector en el momento de la publicación, o al menos así se indica.
¿Será real? Tal vez no… Pero bueno, no se, ya hemos encontrado todo tipo de datos personales…
Si trabajamos con Trello, es muy importante que pongamos siempre una serie de medidas básicas de privacidad, si vamos a subir contenido que queremos que sea visible, entonces lo pondremos en público. Si no, debería ser obligatorio ponerlo en privado.
Vamos a seguir buscando un poco, a ver que sacamos, por ejemplo… ¿Listas de contratación de RRHH?
¿Enlaces a APIs de la empresa?
¿Trabajos sobre Derecho Internacional de la universidad?
¿Datos de clientes?
Encontramos también proyectos de desarrolladores, web, códigos, problemas para solucionar, la corrección de los mismos…
Pero no todo iba a ser malo, también tenemos a los que comparten por que quieren hacerlo 🙂 .
Recordad que si vais a probar esto en casa…
Y que no se os olvide que siempre esto siempre es con fines de investigación.
Dicho eso, esperemos que os haya gustado, que os sirva y… ¡Nos vemos en el próximo artículo!
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
AUTOR
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…