Basında çıkan bazı haberlere göre, yüzlerce büyük ve binlerce küçük şirketin kullanıcılarına ait veriler Trello’dan sızdırıldı. Bu kelimenin gerçek anlamıyla bir sızıntı değildi; Şirketler yıllardır Trello’yu, gizlilik ayarlarının düzgün bir şekilde yapılandırılıp yapılandırılmadığına dikkat etmeden kullanıyorlardı. Bugün yaşanan olay ise, bazı araştırmacıların bu ayarların bilgileri halka açık hale getirmesiyle ilgili.
Doğrusunu isterseniz, her yıl önemli verilerini herkese açık bir şekilde Trello’da depolayan bir şirketin raporlarına ilişkin haberler çıkıyor. Araştırmacı Kushagra Pathak, üç yıl önce Medium’daki yazısında bu konuya dikkat çekmeye çalıştı. Ne yazık ki, bu tür uyarılar genellikle kısıtlı bir etkiyle sahip olma eğilimindedir.
Neler, neden sızdı?
Trello üyeleri, projeler üzerinde işbirliği içinde çalışmak için panoları kullanır. Panolar varsayılan olarak özeldir — ekip dışındaki hiç kimse tarafından görüntülenemez — ancak kullanıcıların takımda olmayan birine panoyu göstermesi gerektiğinde, panonun görünürlüğünü herkese açık olarak ayarlarlar. Bu noktada, herhangi bir kullanıcı sahip olduğu bağlantı ile doğrudan panoyu açabilir ve arama motorları panoda yer alan bilgileri indeksleyebilir. Her panoya olan erişim ayrı şekilde yapılandırılır.
Amacına uygun şekilde oluşturulmuş bir arama sorgusu ile bir çok şirkete ait çok sayıda halka açık panoya erişilebilir. Çeşitli araştırmacıların keşfettiği ve yayınladığı bu panoların arasında, internet sitelerine ait giriş bilgileri, taranmış belgeler ve gizli iş tartışmalarının da olduğu panolar bulunuyor.
Şirketinizin Trello çalışma alanına yetkisiz erişim sağlanması, herhangi bir gizli belge veya parola bulunmasa bile sizin için sorun yaratabilir. Saldırganlar, sosyal mühendislik saldırılarını daha inandırıcı hale getirmek için iş bilgilerini kullanabilirler. Örneğin bir çalışanla yaptıkları bir yazışmada mevcut bir projenin ayrıntılarından bahsederek çalışanın saldırıyı fark etmesinin önüne geçebilirler.
Trello’yu bilgileri gizli tutacak şekilde yapılandırma
Yalnızca iki ayarı değiştirerek, arama motorlarının Trello çalışma alanınızdaki verileri indekslemesini önleyebilirsiniz. Çalışma alanı görünürlüğünden çok asıl önemli olan her bir panonun görünürlüğüdür.
Çalışma alanlarında iki görünürlük ayarı bulunur: Özel ve herkese açık. Seçilecek ayar bellidir.
Panolarda daha fazla seçenek bulunur: Özel (yalnızca pano üyelerinin erişimi vardır), çalışma alanı (tüm çalışma alanı üyelerinin erişimi vardır), organizasyon (tüm çalışanların erişimi vardır — bu yalnızca kurumsal hesaplar içindir) ve herkese açık (herkesin erişimi vardır). Mevcut Trello arayüzü, görünürlük seçeneklerini yeterince açık bir tanımlıyor ve açıklamalarda web gezginlerinin yalnızca herkese açıp panolara erişebileceği belirtiliyor. Bu nedenle herkese açık seçeneğinden başka herhangi seçeneğin seçilmesi sözde sızıntıyı önleyebilirdi.
İşle ilgili bilgi paylaşımının en az sayıda çalışanla sınırlandırılması gerektiğini düşünüyoruz ve bu nedenle özel seçeneğini kullanmak her zaman daha iyidir. Bu biraz daha fazla iş yükü yaratacaktır — birisinin her panele kimin erişebileceğini yönetmesi gerekir — ancak bilgi bütünlüğünün sağlanmasına yardımcı olur.
Güvenli işbirliğinin sağlanması
Trello panolarınızı uygun görünürlük ayarları ile yapılandırmak, bilgilerin halka açık hale gelmesini önleyecektir. Ayrıca şu diğer önemli önlemleri de göz önünde bulundurun:
- Trello çalışma alanınıza ve her panoya erişimi olan kullanıcıların listesini dikkatli bir şekilde yönetin. Çalışanlardan biri projeden, takımdan veya tüm şirketten ayrılırsa, erişimini hemen iptal edin;
- Çalışanları güçlü parolalar kullanmanın önemi konusunda eğitin ve Trello’nun iki faktörlü kimlik doğrulama seçeneğini etkinleştirmelerini önerin;
- Tüm çalışanların hangi çevrimiçi işbirliği araçlarını kullandığı, bu araçlarda ve hizmetlerde hangi bilgileri sakladığının bilgi güvenliğinden sorumlu her çalışan tarafından bilindiğinden emin olun. Bu bilgi, riskleri değerlendirmek ve bir tehdit modeli oluşturmak için gereklidir;
- Herhangi bir işbirliği aracının siber tehditleri (kötü amaçlı dosyalar veya bağlantılar) yaymak için kullanılan bir araca dönüştürülebileceğini göz önünde bulundurarak, her bilgisayara bir güvenlik çözümü yükleyin.