Trello設定ミスで個人情報が全世界に公開。免許証、パスポート、健康診断結果… 検索エンジンからも閲覧可能に
コメント
選択しているユーザー
オープンなコミュニケーションツールは、使用することを決める際に取り扱う情報とツールの仕様を精査する必要がありますね。
仕様が不足している場合でも、便利なツールであれば補完ツールと組み合わせ、かつルールを作り厳守させる必要があります。とはいえコミュニケーションツールを使う際のガバナンスは付帯しておくべきでしょう。
注目のコメント
Trello やこういう系のサービスは便利な一方、情報漏洩しやすいので使うときは全ての設定をきちんと確認しなければなりません。
今、既存設定はどうなっているか知りませんが、 Trello のような調達したスタートアップはセキュリティを犠牲してもグロース (成長) 優先するところが多いと覚えておいたほうが良いです。
ユーザ数をできるだけ早く獲得しようとするため、公開設定を一般公開にして見込み顧客に簡単に見せて、登録をしてもらう計画をすることが多いです。また、無料プランで非公開設定すらない場合もあります。
各検索エンジンに
site:有名なsaasのurl.com "キーワード"
を検索するとやまほど出てきます。自分の会社のツールが漏洩していないか一度確認した方が良いです。 (悪用はやめて)
【追加】
紅海の既存状態について Atlassian によると
> Trelloの初期設定ではボードは非公開になっており
ですので意図的に公開されてしまいました。
https://www.atlassian.com/ja/blog/trello-public-board実際、Trelloでボードを新規作成したときの設定画面を以下へ貼りました。
デフォルトでは「非公開」であることを確認。
そして、「公開」のところには、以下2点書かれています。
・誰でも閲覧可能
・Googleのような検索エンジンにも表示される
https://twitter.com/waterclover_com/status/1379382173866848261?s=21AWSのS3バケットやAzureのBlobストレージでも"public"の解釈間違いによる悲劇って時々あります。多少の厳密さは期待したい技術者ですらこうですから、より広いユーザー層に向けたサービスの場合は相当に慎重に公開機能を作り込まないと似た悲劇はまた起こると思います。