Trello設定ミスで個人情報が全世界に公開。免許証、パスポート、健康診断結果… 検索エンジンからも閲覧可能に
コメント
選択しているユーザー
昨夜、2ch(5ch)に「個人情報が流出している」と投稿されて、一気に拡散されたようですね。
「Trello 企業名」と検索して、見回っているユーザーの方達もいるようで、Trelloを利用している企業の方達は一度設定を確認した方が良さそうです。
また、実際はデフォルトでは非公開設定のようですが、SNS上ではデフォルトで公開設定になっている、というデマ情報も拡散されていて(私のFacebookのタイムラインにも流れてました。。)、怖いなぁと思ってしまいますね。。
注目のコメント
Trello やこういう系のサービスは便利な一方、情報漏洩しやすいので使うときは全ての設定をきちんと確認しなければなりません。
今、既存設定はどうなっているか知りませんが、 Trello のような調達したスタートアップはセキュリティを犠牲してもグロース (成長) 優先するところが多いと覚えておいたほうが良いです。
ユーザ数をできるだけ早く獲得しようとするため、公開設定を一般公開にして見込み顧客に簡単に見せて、登録をしてもらう計画をすることが多いです。また、無料プランで非公開設定すらない場合もあります。
各検索エンジンに
site:有名なsaasのurl.com "キーワード"
を検索するとやまほど出てきます。自分の会社のツールが漏洩していないか一度確認した方が良いです。 (悪用はやめて)
【追加】
紅海の既存状態について Atlassian によると
> Trelloの初期設定ではボードは非公開になっており
ですので意図的に公開されてしまいました。
https://www.atlassian.com/ja/blog/trello-public-board実際、Trelloでボードを新規作成したときの設定画面を以下へ貼りました。
デフォルトでは「非公開」であることを確認。
そして、「公開」のところには、以下2点書かれています。
・誰でも閲覧可能
・Googleのような検索エンジンにも表示される
https://twitter.com/waterclover_com/status/1379382173866848261?s=21AWSのS3バケットやAzureのBlobストレージでも"public"の解釈間違いによる悲劇って時々あります。多少の厳密さは期待したい技術者ですらこうですから、より広いユーザー層に向けたサービスの場合は相当に慎重に公開機能を作り込まないと似た悲劇はまた起こると思います。