Onderzoeker vindt gevoelige gegevens VN in Trello, Google Drive en Jira

Een beveiligingsonderzoeker heeft gevoelige gegevens gevonden van de Verenigde Naties, waaronder wachtwoorden en privédata van medewerkers, via publiek toegankelijke documenten op Trello, Google Drive en in Jira.

De onderzoeker, Kushagra Pathak, kwam de publiek toegankelijke data op het spoor via Google-zoekopdrachten, meldt The Intercept. Die zoekopdrachten verwezen naar boards van projectmanagementdienst Trello die mensen bij diverse onderdelen van de VN op publiek hadden gezet. Die staan standaard op privé. Hetzelfde geldt voor de links op Google Drive en in bugtrackingdienst Jira. Die links kwamen van Trello.

De gebruikers van Trello, Google Drive en Jira bij de VN hadden de links publiek gezet, waardoor iedereen met de link kon kijken. Zo vond hij een ftp-server, links die toegang gaven tot webconferenties, adressen van alle VN-gebouwen in New York en telefoonnummers van VN-medewerkers.

Pathak meldde het probleem op 20 augustus bij de VN, maar pas enkele weken later, nadat The Intercept ook contact had opgenomen, begon de VN de links weer privé te maken. De VN zegt in een reactie dat veel van de data niet gevoelig is, terwijl er ook verouderde data tussenzit. Desondanks hebben VN-medewerkers een seintje gekregen om voorzichtig om te gaan met data op platforms van derden.

Het gebeurt vaker dat via Google-zoekopdrachten gevoelige gegevens komen bovendrijven. Pathak vond zo al eerder gegevens van diverse bedrijven en overheden. Tweakers ontdekte in 2009 via een Google-zoekopdracht een publiekelijk toegankelijke database van een persbureau met allerlei telefoonnummers van bekende Nederlanders.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 24-09-2018 18:04 30

24-09-2018 • 18:04

30

Lees meer

Slack neemt Hipchat-chatapplicatie over
Slack neemt Hipchat-chatapplicatie over Nieuws van 27 juli 2018
HipChat stelt wachtwoorden opnieuw in na hack
HipChat stelt wachtwoorden opnieuw in na hack Nieuws van 25 april 2017
Typfout in commando leidde tot grote storing Amazon S3 en downtime veel websites
Typfout in commando leidde tot grote storing Amazon S3 en downtime veel websites Nieuws van 3 maart 2017
Privacy Beveiliging Google drive

Reacties (30)

-Moderatie-faq
30
28
17
1
0
7
Wijzig sortering
Sircuri 24 september 2018 18:10
"Pathak meldde het probleem op 20 augustus bij de VN, maar pas enkele weken geleden, nadat The Intercept ook contact had opgenomen, begon de VN de links weer privé te maken."

"... maar pas enkele weken geleden". Sorry hoor, maar 20 augustus is voor mij enkele weken geleden. Het is toch ook pas enkele weken geleden kenbaar gemaakt bij de VN. Wat is dit voor een suggestieve manier van schrijven.
Nick_S @Sircuri24 september 2018 18:16
On August 20, Pathak reported exposed data to the U.N.’s information security team. On September 4, the U.N. replied to say it would review his findings. On September 12, another U.N. email stated, “We were not able to reproduce ths[sic] reported vulnerability. May we request you to provide the exact Google search criteria that was used?” Also on September 12, The Intercept contacted the U.N.
Ze hebben er 3 weken over gedaan om er achter te komen dat ze het niet konden reproduceren. Ik vind dat vrij lang als je nog niet weet in hoeverre het ernstig is.
kodak
@Nick_S24 september 2018 19:23
11 werkdagen voor ze de mail in behandeling hebben genomen en 6 werkdagen om het te onderzoeken en tot de conclusie te komen dat ze het niet konden reproduceren. Hun policy is dat er 90 dagen over gedaan kan worden om het te verhelpen. Er staat ook niet bij dat de UN geen zin had om het op te lossen, ondanks dat ze het niet meteen konden reproduceren. Dus waarom Pathak dan maar naar de pers stapt om met zijn naam in de media te komen en te wijzen hoe erg het bij de UN is laat zich misschien een beetje raden. het kan best zijn dat ze bij de UN na het zien van die gegevens zoiets hadden als niet de hoogste prioriteit om uit te zoeken. De UN geeft tenslotte aan dat veel gegevens niet gevoelig zijn of al oud.
kuurtjes @Nick_S24 september 2018 18:20
Er is geen probleem zolang alle tests lukken :+
Noresponse @Sircuri24 september 2018 18:30
Trello is gratis te gebruiken en snap niet dat bedrijven deze optie kiezen. De app is niet eens encrypted en toch deel je allerlei dingen in je bedrijfsvoering. Keuzes.

Het artikel gaat over gevoelige informatie en dat de VN dit dan ook gebruikt is niet slim en daarbij is vaak de gebruiker meestal ook de boosdoener door soms wachtwoorden op te slaan in wordpad of een excel bestand. :) Je komt wat tegen .

[Reactie gewijzigd door Noresponse op 24 juli 2024 09:26]

Argantonis @Noresponse25 september 2018 05:47
Trello is gratis te gebruiken en snap niet dat bedrijven deze optie kiezen. De app is niet eens encrypted en toch deel je allerlei dingen in je bedrijfsvoering. Keuzes.
Wat bedoel je precies met ‘de app is niet eens encrypted’? Het verkeer naar de backend die je kan benaderen met zowel een app als een browser is bij mijn weten altijd encrypted, je reactje suggereert een beetje dat de app met http zou communiceren.

De data die op die backend staat is inderdaad niet encrypted, als je dat bedoelt, wat overigens ook lastig zou zijn als je willekeurige mensen voor je board zou willen kunnen uitnodigen. Dit is verder niet anders dan bijvoorbeeld bij Amazon AWS waar allerlei bedrijven services (waaronder databases) hebben draaien, GitHub, GitLab en BitBucket waarbij allerlei bedrijven source code hebben staan, Microsoft Office 365 waarbij allerlei bedrijven email en documenten hebben staan, enzovoorts enzovoorts.
GoT @Noresponse24 september 2018 19:03
Er zijn mensen die alles was los en vast zit plempen op Facebook, maar er zijn ook mensen die selectief plempen op Facebook.
Het ligt er maar net aan hoe de gebruiker het gebruikt.
Cio @Sircuri24 september 2018 18:21
Suggestief is het niet, gewoon slecht overgenomen. Arnoud heeft blijkbaar wel zijn cup-a-soup momentje gemist.

The Intercept zegt dat de links pas sinds 13 september niet meer werken, nadat zij contact hadden opgenomen. Op 12 september gaf de V.N. in een reactie naar Pathak aan zijn bevindingen niet te kunnen reproduceren.
Verwijderd 24 september 2018 18:46
Kwam er laatst achter dat Google in principe gewoon alles benaderbaar heeft achter een hele moeilijke link. In ieder geval in Photo's.
Rechterklik in Google Photo's maar eens een random (privé) foto, kopier de bron url, en plak die in een incognito venster (zodat je nergens op ingelogged bent) eens in de adresbalk en ga er heen.

Zullen ze bij Google ongetwijfeld over nagedacht hebben maar ik vind dat raar. Kan niet direct met een voorbeeld op de proppen komen hoe dat exploitabel is maar ik zie in ieder geval nergens opties om die links te "verversen" dus mocht er onverhoopt wat uitlekken qua url's (bijvoorbeeld door albums die je met selecte derden deelt en die per abuit links op internet zet) heb je wel een uitdaging.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:26]

RebelwaClue @Verwijderd24 september 2018 19:00
Volgens mij werkt incognito mode anders. Dan ben je nog wel ingelogd met je Google account, maar websites kunnen geen info uitvragen (behalve Google zelf). Net getest met een link en deze werkt in een andere browser absoluut niet. Voor de zekerheid nog een link getest
Verwijderd @RebelwaClue24 september 2018 19:04
De URL die je uit je adresbalk trekt werkt inderdaad niet, maar de feitelijke URL van de afbeelding zelf (rechterklik, "Adres van afbeelding kopieren") wel.

Neem bijvoorbeeld deze.

Dit is mijn hond, een afbeelding die ik technisch gezien met niemand deel...

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:26]

Zer0 @Verwijderd24 september 2018 19:53
Wat voor een ras is dat? Verkeersbord?
(Ik zie alleen een zwart/wit verboden in te rijden-bord, geen hond.
!GN!T!ON @Verwijderd24 september 2018 20:06
als ik op je link klik kom ik op een zwarte pagina met een stop icoon, geen hond te zien
RebelwaClue @Verwijderd24 september 2018 19:06
+1 Oh verrek ja. Die werkt inderdaad wel

Natuurlijk is de link niet te raden, maar geen idee mocht die link es uitlekken. Gelukkig staat je hond er onherkenbaar op _/-\o_

[Reactie gewijzigd door RebelwaClue op 24 juli 2024 09:26]

!GN!T!ON @RebelwaClue24 september 2018 20:07
deze zie ik inderdaad wel :D background plaatje. de URL's cyclen ook na een tijdje. als je nu op de link van rebelwa klikt dan zie je een stopteken en is de URL anders
MrMonkE @Verwijderd25 september 2018 10:00
Werkt niet voor mij, ik moet inloggen.
Maar ik heb dan ook geen google account dus dat klopt wel :+
Verwijderd @MrMonkE25 september 2018 10:15
Ik zie dat je er nu voor moet inloggen ja, blijkbaar verloopt zo'n link na x-tijd.
xDiglett @Verwijderd24 september 2018 18:57
Klopt, maar die URLs hebben meer dan 600+ tekens. Die ga je niet zomaar raden.

+ normaal gesproken deel je de URL van zo'n afbeelding niet door de bron URL te kopiëren.
Verwijderd @xDiglett24 september 2018 18:58
normaal gesproken deel je de URL van zo'n afbeelding niet door de bron URL te kopiëren
Ik doe dat inderdaad niet maar ik steek mijn hand er wel voor in het vuur dat er legio mensen die dat wel doen. Misschien wel mensen waar ik albums mee deel die niet voor verder distributie bedoeld zijn.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:26]

!GN!T!ON @Verwijderd24 september 2018 20:04
bestanden blijven niet altijd diezelfde URL houden, dus na een tijdje krijg je een 404
Zenomyscus @!GN!T!ON25 september 2018 07:42
Prima om snel een afbeelding te delen die de ander dan kan opslaan. Uiteindelijk ga er niks aan kunnen doen, tenzij je voor iedere page request dynamisch URLs voor je bestanden genereert.
bilbob @Verwijderd24 september 2018 19:11
daar wil ik best wat meer van weten!
daanb14 24 september 2018 18:36
Ik zou eerlijkgezegd niet weten waarom je een dienst als Trello voor het delen van links zou gebruiken. Normaal gebruik je Trello toch om lekker te kanbannen?
Verwijderd @daanb1424 september 2018 18:55
Ik zou juist niet weten waarom je niet met links zou strooien in Trello, het is een samenwerkingstool bij uitstek.
2green 24 september 2018 19:38
Wat mij betreft niets bijzonders.

Denk dat vele internetters wel eens een boek of document geprobeerd hebben te vinden op dezelfde manier, dat achter een (betaal) muur zit.

Bij het zoeken naar boek rectificaties en bijlagen ben ik zelfs wel eens gestuit op stukken dat overduidelijk niet voor het brede internet bedoeld was . Met name op google drive, microsoft cloud en amazon zijn cloud diensten met vaak (on) gepubliceerde boeken.
kodak
@2green24 september 2018 22:30
Eerst zorgen dat je een mediabedrijf je verhaal graag wil publiceren zonder al te moeilijke vragen te stellen. En als je dan in het nieuws komt en mensen daarna intresse in je twitter account hebben, dan tweet je dat je een baan zoekt.
https://twitter.com/xKushagra/status/1044309328461787139

Het gaat er niet om of het bijzonder is. Het lijkt er zo zonder kritische vragen richting de onderzoeker zelfs niet om te gaan of het echt een security incident zou zijn. Het gaat er om of ze aandacht krijgen.

[Reactie gewijzigd door kodak op 24 juli 2024 09:26]

2green @kodak25 september 2018 00:09
Waar gaat het dan over? De rest van het verhaal betreft gebruikersfouten.
Frituurbaas @Nick_S25 september 2018 23:59
Ik ben geen scrum master, noch een scrum evangelist

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq