Bezpieczeństwo  / Artykuł

Prywatne dane, hasła i wszystko, co ludziom przyszło do głowy zapisać w Trello, znajdziesz... w Google

Korzystając z usług online, należy bardzo uważać na to, co i gdzie się klika. Jeden przełącznik może sprawić, że prywatne dane staną się ogólnodostępne. Od tego już tylko krok do katastrofy.

Trafiłem dzisiaj w serwisie Twitter na post, który mnie nieco skonfundował. Paweł Piskurewicz zauważył, że dane udostępniane przez użytkowników w serwisie do zarządzania zadaniami o nazwie Trello są ogólnodostępne, a do tego... indeksowane przez Google'a.

Postanowiłem przyjrzeć się sprawie, bo nie tylko wydała się interesująca, ale w dodatku korzystamy z Trello do organizacji pracy w naszej redakcji.

Nie byłoby komfortową sytuacją, gdyby nasze firmowe tablice trafiły do sieci. Z początku się zaniepokoiłem, bo okazuje się, że faktycznie na tablice w serwisie Trello można się natknąć i to nie tylko poszukując informacji na zadany temat w Google'u.

Wystarczy prosta komenda, by wyszukiwarka przeszukiwała wyłącznie zasoby serwisu do organizacji pracy i zwrócił w wynikach linki do konkretnych tablic. To pozwala odkryć mnóstwo notatek, z których część w założeniu miała być prywatna.

Na pierwszy rzut oka wygląda to na całkiem spory problem po stronie usługodawcy, co mogłoby rozzłościć użytkowników. W praktyce winni są temu tylko i wyłącznie niefrasobliwi internauci, którzy sami udostępnili te dane innym.

To nie programiści Trello odpowiadają za to, że dane wielu firm fruwają po sieci bez nadzoru i każdy może im się przyjrzeć.

Trello pozwala stworzyć nową tablicę i zaprosić do współtworzenia jej inne osoby. Podczas wyboru domyślne ustawienia prywatności - przynajmniej dziś, gdy to postanowiłem sprawdzić - są w porządku: każda nowa tablica dostępna jest wyłącznie dla zalogowanych osób, które mają do niej dostęp.

Użytkownik ma po prostu możliwość wyboru i da się zmienić widoczność wybranej tablicy, a tym samym skonfigurować ją jako publiczną. Trello ostrzega, że taka tablica będzie widoczna dla każdej osoby, która będzie miała do niej link i wprost informuje o tym, że karty w tej tablicy będą indeksowane w wyszukiwarce.

Taka funkcja jest bardzo przydatna. Nie wszystkie dane muszą być chronione. Jeśli ktoś tworzy w Trello przepisy kucharskie i udostępni je jako publiczne, to nie ma w tym nic złego, że zostaną zaindeksowane w Google. Ustawienia prywatności w Trello działają dokładnie tak, jak powinny.

Nie można obarczyć Trello odpowiedzialnością za to, że użytkownicy sami ustawiają tablice jako Publiczne.

Domyślnie każda tablica w serwisie Trello jest prywatna i tak powinno być. Sprawdziłem nawet, czy da się podczas tworzenia nowej tablicy przypadkiem zmienić to ustawienie. Stworzyłem jedną publiczną tablicę, wyszedłem do głównego menu i zacząłem tworzyć kolejną - ale ta była znów oznaczona jako prywatna.

Jeśli ktoś stworzył tablicę publiczną, która pozwala na oglądanie jej osobom postronnym, to sam jest sobie winien. To tak jak z samochodami - można w nich zamknąć drzwi lub pozostawić je otwarte, a jeśli kierowca zostawi otwarte auto na noc, to nie może winić producenta za to, że mu je ukradli.

Oczywiście nic nie uprawnia internautów, by dobierać się do danych, które nie są im przeznaczone - tak samo jak złodziej nie ma prawa odjechać samochodem z parkingu, nawet jeśli właściciel go nie zamknął. Po prostu nie można doszukiwać się winnych tam, gdzie ich nie ma. Trello zadbało o to, by dane były bezpieczne.

Problem w tym, że chociaż nawet mało rozgarnięty człowiek zdaje sobie sprawę, że drzwi do auta warto zamykać, tak w przypadku usług online nie musi to być takie oczywiste.

Dla ludzi obytych z siecią ustawienia prywatności nie są niczym obcym i dziwnym, ale dla osoby, która korzysta z internetu okazjonalnie, informacja o indeksowaniu danych w Google nie jest jasnym komunikatem. Mimo to Trello robi co może, by ograniczyć wyciek danych, a informacja o tym, że tablica jest publiczna, powinna dać do myślenia nawet początkującym internautom.

Nie zawsze ustawienia prywatności są jednak tak dobrze opisane, jak w przypadku Trello. Dziesiątki serwisów internetowych pozwalają zapisywać w nich dane i ciężko na pierwszy rzut oka stwierdzić, kto będzie miał do nich potem dostęp. W wielu przypadkach nie jest to specjalnym problemem - jeśli ktoś dostanie dostęp do naszej listy zakupów, to świat się nie zawali.

Znacznie gorzej jest w sytuacji, gdy do sieci trafiają poufne dane firm.

Wykazy klientów, wyniki finansowe, plany na rozwój przedsiębiorstwa - tego typu informacje, jeśli trafią w ręce konkurencji, mogą zaważyć na przyszłości prowadzonego biznesu. Często by je pozyskać osoba o niecnych intencjach nie musi się nawet bawić w hakera.

Zdarza się, że wystarczy poczekać, aż pracownik firmy skorzysta z narzędzia online i nieświadomie udostępni swoje pliki innym. Swego czasu np. Google Docs pozwalało zapisywać wzory dokumentów do późniejszego wykorzystania, z czego mogli korzystać inni użytkownicy.

Wiele osób nieświadomie zapisywało w takim publicznym katalogu już wypełnione dokumenty i każdy mógł na nie zerknąć. Google wycofało się z tego pomysłu w 2016 roku, ale do tego czasu sporo informacji mogło trafić w niepowołane ręce, a to z pewnością nie ostatnia tego typu sprawa.

Co robić, jak żyć?

Jeśli ktoś chce korzystać z internetu, to musi się tego po prostu nauczyć. W większości wypadków usługi online jasno opisują, co się stanie z danymi, jeśli kliknie się np. ten czerwony przycisk zmieniający widoczność tablicy w Trello na publiczną. Nie zawsze jest to takie oczywiste, ale w większości wypadków wystarczy najpierw myśleć, potem klikać.

Wpadek jako społeczeństwo nie unikniemy, ale możemy je przynajmniej minimalizować poprzez edukację. Stąd też ten wpis - być może po jego lekturze osoby mniej obeznane z cyfrowym światem następnym razem pisząc raport dla przełożonego lub opisując projekt w narzędziu online, dwa razy upewnią się, by ich informacje nie wydostały się na zewnątrz.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst