Het is makkelijk vissen in de gegevensvijver van Trello-boards

Onveilige tool Creditcardnummers, e-mail-adressen, inloggegevens: de online tool Trello staat vol gevoelige data, die simpel kunnen worden opgevist.

Illustratie Studio NRC

Trello maakt online werken makkelijker, maar gebruikers zetten onbewust hiermee veel data online. Tientallen ‘Trello-boards’, met gegevens van KLM, Ajax en KPMG, zijn eenvoudig vindbaar via Google en daardoor munitie voor gerichte phishing.

Binnen een handomdraai vonden NRC en Reporter Radio via Google tientallen openbare Trello-boards van Nederlandse bedrijven en personen. Op de pagina’s staan gevoelige gegevens: van creditcardnummers en e-mailadressen tot inloggegevens van websites of wachtwoorden voor servers. En dat terwijl boven iedere pagina in koeienletters wordt gewaarschuwd: „Deze pagina is openbaar.”

De informatie op een Trello-board is een kleine goudmijn

Via Trello, dat in 2016 ruim een miljoen actieve gebruikers kende, kunnen gebruikers online samen aan projecten werken en bijvoorbeeld taken toewijzen en deadlines hieraan koppelen. De software voorziet zo in een belangrijke behoefte, is intuïtief in gebruik en bovendien deels gratis. Het bedrijf werd in 2017 voor ruim 400 miljoen dollar gekocht door Atlassian, dat vergelijkbare oplossingen aanbiedt.

Gebruikers moeten er zelf voor kiezen om een Trello-board openbaar te zetten. Dat maakt het delen gemakkelijker, maar andere implicaties worden onderschat, denkt Dave Maasland, directeur van beveiligingsbedrijf ESET Nederland. „Gebruikers staan er niet bij stil dat die unieke link te vinden is door zoekmachines.”

Ook een recruitmentbureau dat voor KPMG werkte deelde informatie op Trello. „Het is ernstig wat je tevoorschijn kan toveren door een beetje te googlen”, zegt Koos Wolters, partner cyber security bij KPMG. Het adviesbureau heeft de pagina offline laten halen.

‘BELANGRIJKE GEGEVENS’

De gevoelige informatie op de Trello-boards ligt soms voor het oprapen. Op een pagina waar een medewerker van een reclamebureau enkele jaren haar werkzaamheden voor Ajax bijhield, worden onder het kopje ‘BELANGRIJKE GEGEVENS’ – inmiddels inactief gemaakte – serverwachtwoorden bewaard.

De naam van de beheerder is even eenvoudig te achterhalen als de inhoud van de Ajax-pagina. Yvonne van Houten, werkzaam in Eindhoven, is verbaasd om te horen dat de Trello-pagina nog steeds online staat en makkelijk via Google te vinden is. „Het was handig om intern mee samen te werken, maar onhandig dat het niet goed afgeschermd is.” De pagina heeft ze direct offline gehaald.

Het laten slingeren van wachtwoorden of creditcardgegevens op Trello is slordig, zegt Sandro Etalle, hoogleraar cyber security aan de TU Eindhoven, maar de aangetroffen bedrijfsinformatie is waardevoller, vooral voor gerichte aanvallen of spear phishing. In 2018 was dit voor 65 procent van de hackersgroepen die beveiligingsbedrijf Symantec volgde de belangrijkste methode om informatie te achterhalen.

Met spear phishing proberen hackers individuele slachtoffers te verleiden om op een geïnfecteerde e-mailbijlage te klikken. Daar zit code in die de hacker toegang geeft tot gegevens op de besmette computer. Cruciaal is dat deze e-mails zo authentiek mogelijk zijn. Dat gaat makkelijker als de hacker een e-mail verstuurt die het slachtoffer verwacht en die zaken noemt waar hij of zij bekend mee is. De informatie op een Trello-board, zoals van een softwarebedrijf dat voor luchtvaartmaatschappij KLM werkt, noemt hoogleraar Etalle daarvoor „een kleine goudmijn”.

Kleinere bedrijfjes fungeren zo in toenemende mate als „een springplank” voor cybercriminelen om bij grotere bedrijven binnen te komen, zegt Maasland. Vervolgens richten hackers, met nieuwe buitgemaakte informatie, de pijlen op grotere bedrijven. Niet ieder mkb-bedrijf hoeft zich daarover zorgen te maken, maar enige digitale „basishygiëne” mag verwacht worden. Maasland: „En het niet via Trello-boards openbaren van bedrijfsgegevens valt daar gewoon onder.”

Beluister ook de uitzending van Reporter Radio (KRO-NCRV) over Trello. Zondagavond om 19.00 op NPO Radio 1.