Аналитики назвали причины утечки данных в сервисе Trello
Ситуация с утечкой данных российских компаний с сервиса Trello является следствием невнимательности самих пользователей, считают аналитики компании Infosecurity.
«Данная ситуация является прекрасной иллюстрацией утечки информации, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании. Наш сервис ETHIC регулярно фиксирует такого рода утечки — люди оставляют конфиденциальные документы на общедоступных файлообменниках, подключают флешки к различным устройствам, доступ к которым можно получить из Сети и так далее», — сообщили «Известиям» во вторник, 20 апреля, в пресс-службе компании.
Как подчеркнули в Infosecurity, злоумышленники уже давно освоили поиск таких данных и активно используют их в своих целях. В случае конкретной утечки с Trello, сотрудники организации не читают описание публичной доски, когда создают ее. Кроме того, другой серьезной проблемой является то, что корпоративная документация и персональные данные «вообще не должны оказываться на досках Trello — хоть публичных, хоть приватных».
«Все это демонстрирует полное пренебрежение к вопросам обеспечения информационной безопасности со стороны затронутых инцидентом компаний», — заключили в Infosecurity.
При этом, по словам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, инцидент с Trello вообще не является утечкой.
«Назвать это новой утечкой сложно. О том, что публичные доски Trello, Asana и других сервисов индексируются поисковиками, известно уже несколько лет. Их значительно меньше миллиона, да и большинство таких досок давно брошено и не содержит никакой критичной информации», — подчеркнул он.
О том, что данные нескольких сотен крупных и тысяч небольших российских компаний, размещенных на сервисе Trello, оказались в публичном доступе, стало известно ранее во вторник.
15 апреля глава Минцифры РФ Максут Шадаев сообщил о готовности законопроекта об ответственности за массовые утечки личных данных.
С августа 2015 года в России действует закон, который обязывает интернет-компании, работающие с персональными данными россиян, регистрироваться в качестве организатора распространения информации (ОРИ) и в течение шести месяцев хранить на территории РФ всю переданную и полученную жителями страны информацию.
