• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:1202

1. Trello存在一漏洞，可能導致使用者機敏資料外洩並遭有心人士竊取，且只需要用Google搜尋功能就可以達成。

Trello為線上免費專案管理工具，許多系統開發團隊或個人都仰賴此工具來管制及紀錄專案中的各項大小進度及細節，但近期有資安專家發現Trello存在一漏洞，可能導致使用者機敏資料外洩並遭有心人士竊取，且只需要用Google搜尋功能就可以達成。

Trello的版面(Board)可以由使用者自行設定隱私(Visibility)，但不論設定為公開(Public)或是私人(Private)，皆可能利用Google Hacking技巧被搜尋到。例如在Google搜尋欄位中輸入「intext:password and inurl:trello.com」，就可以搜尋出數頁結果，從搜尋結果可看出皆為在Trello的版面中提到與密碼相關的資訊。實際點入連結觀看，會發現有些版面設定為公開，而有些版面則是私人的所以無法閱覽，但不論是何者，都可以直接透過Google搜尋結果得到部分訊息，包含系統開發細節、系統漏洞處理進度及帳號密碼等，因此只要曾記錄在該平台上之資料都有可能已經外洩。

目前Trello已獲知此漏洞訊息並正在進行處理。

●TWCERT/CC建議使用者切勿將機敏資訊存於Trello中，且應儘速更改曾於Trello中記錄帳號之密碼，以免遭有心人士利用。

參考連結：

https://securityaffairs.co/wordpress/72380/data-breach/trello-data-leak.html
https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724