利用Google从公开的Trello面板中的获得大量敏感信息
在不久前,我无意中发现,很多个人和公司都把他们的敏感信息放在他们的公共Trello(一种团队协作管理工具)面板上。诸如未修复的漏洞、社交媒体帐户、电子邮件帐户、服务器和管理员凭证等——这些Trello面板页面都会被搜索引擎建立索引,任何人都可以通过谷歌语法轻松找到它们。
我是怎么发现这个的?
我使用以下搜索语句查询某个有漏洞奖励计划公司的Jira实例:
inurl:jira AND intitle:login AND inurl:[company_name]
以上语法并不复杂,其中[company_name]
这一处我用Trello
,然后谷歌在就给我展现了一些公开的Trello面板,而其中一些页面记录了登入到Jira的凭证。
我是如此震惊和惊讶
Trello是一个用于管理项目和个人任务的在线工具。它具有一个管理这些项目和任务的面板。用户可以将其面板的可见性设置为私有或公共。
在发现这个问题后,我想,为什么不试试能不能检索电子邮件帐户的密码呢?
于是我修改了下查询语句,想找到一些包含Gmail帐户密码的Trello面板。
inurl:https://trello.com AND intext:@gmail.com AND intext:password
那么ssh和ftp密码呢?
inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password
还能找到什么?
在花了几个小时不停测试后,我有了更多令人惊奇的发现。
一些公司使用公共Trello板来管理应用程序和网站中发现的安全漏洞和bug。
还有人还使用公开的Trello面板作为他们组织团体的密码管理器。包括服务器、CMS、CRM、业务电子邮件、社交媒体帐户、网站分析、Stripe、AdWords帐户等等都存在上面。
在这个发现之前,我并没有参加任何漏洞悬赏计划。
但在我发现这个问题的9个小时后,我主动找到了将近25家存在信息泄露公司的联系方式,把漏洞报告给他们。有趣的是,找到某些公司的有效联系方式可以说是一项富有挑战的任务。
我在漏洞猎人网站和一个名为InfoSec Discord的网站以及推特上公布了这个发现,很多人都感到惊讶那。
然后有人陆续告诉我,他们通过我分享的trello技术发现了一些很酷的东西,比如商业邮件、Jira登录凭证和漏洞奖励计划的内部敏感信息。
在发现这个问题10小时后,我开始专门测试那些有漏洞悬赏计划的公司。当我开始使用搜索语句查询一家著名的汽车共享公司时。
inurl:https://trello.com AND intext:[company_name]
我立即发现了一个公开的Trello面板,其中包含了一个雇员的商业电子邮件帐户的登录凭证以及一些内部信息。
为了证实这一点,我联系了该公司的安全小组。他们表示已经收到过关于Trello面板存在信息泄露的报告,而我发现的又是一个新的Trello面板信息泄露事件。安全小组要求我向他们提交一份完整的报告。
不幸的是,我的报告因为重复
而关闭了。
在接下来的几天里,我又向15家公司报告了有关Trello面板公开的问题,这些面板均泄露了很多高度敏感的信息。这些公司都是大公司,但大部分都没有漏洞悬赏计划。
这15家公司中有一家有漏洞悬赏计划,我也向他们报告了这个问题。不幸的是,他们现在还没有奖励我。
更新-2018年5月18日:
就在前几天,我发现了一堆公开的trello面板,其中居然有一个政府的敏感的信息(包括登录凭证!)。太神奇了!
更新-2018年8月17日:
最近几个月,我共发现了50个英国和加拿大政府的Trello公开面板,其中包含很多内部机密信息和登录凭证。我已写了一篇详细的说明文章。
更新-2018年9月24日:
8月,我发现了60个公开的Trello面板,一个公共的Jira和一堆联合国的Google文档,里面包含了多个FTP服务器的登录凭证、社交媒体和电子邮件帐户、大量的内部通信和文档。详细文章在这。
感谢阅读这篇文章,如果你喜欢,可以在Twitter上关注我。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724
最新评论