Deel jouw ervaring
Waar ben je naar op zoek?

"Bedrijven en andere partijen moeten ervoor zorgen dat hun digitale veiligheid conform de norm wordt gehandhaafd." Dat zegt de Autoriteit Persoonsgegevens, nadat ze inzicht kregen in de resultaten van het onderzoek van Reporter Radio en NRC naar openstaande Trello-borden. Door verkeerd gebruik van deze samenwerkingsapplicatie zijn er velen persoonsgegevens op straat komen te liggen

Trello vergemakkelijkt het online samenwerken, maar gebruikers van de app zetten hiermee onbedoeld veel privacygevoelige informatie online. Het is niet moeilijk om met slimme Google zoekopdrachten, tal van e-mailadressen en telefoonnummers op tafel te krijgen.

Ook zijn er wachtwoorden van e-mailadressen, websites, FTP-servers en van PayPal accounts te vinden. De standaard instelling op de zogeheten 'Trello-boards' zorgt ervoor dat de borden niet publiekelijk te vinden zijn. Gebruikers kunnen er zelf voor kiezen om het bord op openbaar te zetten, met alle gevolgen van dien.

De privacy-waakhond vindt "dit er op z'n minst slordig uitzien en ziet hierin ook een mogelijk gevaar voor de privacy als er persoonsgegevens bij betrokken zijn. Daarnaast wijzen we erop dat het gebruik van deze of andere applicaties een risico kan vormen voor de persoonsgegeven en dat partijen dan ook meld plichtig zijn voor datalekken."

Hoe deden wij ons onderzoek?

Er is geen database te vinden van openstaande Trello-borden, deze is echter wel zelf te maken. Openstaande Trello-borden worden namelijk geïndexeerd door zoekmachines als Google. Dit betekent dat er gemakkelijk naar openstaande Trello-borden te zoeken is met zo geheten search operators.

Het onderzoek begon door te Googlen op inurl:https://trello.com/b/; zo zorg je ervoor dat elk resultaat dat je krijgt van Google op openbare Trello-borden uitkomt. De /b/ in de link betekent dat je op een bord bent.

De volgende stap die we maakten, was het zoeken naar persoonlijke e-mailadressen. We maakte de volgende zoekopdracht: inurl:https://trello.com AND intext:@gmail.com. Elk zoekresultaat levert een Gmailadres op, dat op een openbaar Trello-bord staat.

De hoeveelheid is schokkend, tientallen pagina’s met unieke e-mailadressen komen naar voren. Om op bijvoorbeeld wachtwoorden te zoeken, typen we in: inurl:https://trello.com AND intext:gmail.com AND intext:password. Het resultaat is schokkend, we vinden zonder enige moeite honderden wachtwoorden van e-mailadressen. Op deze manier bleek het ook niet moeilijk te zijn om inloggegevens van een hoop andere diensten te vinden.

Niet vindbaar

Trello laat in een reactie weten dat ze hun best doen, om gebruikers duidelijk te maken dat openbare Trello-borden worden geïndexeerd door zoekmachines. Op de vraag waarom ze er niet voor zorgen dat de openstaande Trello-borden niet vindbaar zijn door zoekmachines, gaven ze geen antwoord

De zwakke plek van samenwerkingsapp Trello

Onderdeel van Technologie

Ook interessant

Samen komen we verder

Ons onderzoek begint bij jou. Heb jij een tip of ervaring die je met ons wil delen? Laat het ons weten!

Heb jij een tip of ervaring die je met ons wil delen? Laat het ons weten!

Documentatie uploaden
CAPTCHA
Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.

Bedankt, je tip is verstuurd

Wat gebeurt er nu met mijn tip?

Bedankt dat je de tijd hebt genomen om het tipformulier in te vullen. Je tip is verstuurd naar de redacteur van het onderzoek. Wij publiceren niets met naam en toenaam zonder contact met je op te nemen. Soms krijgen we zoveel tips binnen dat het ons helaas niet lukt om iedereen een persoonlijke reactie te sturen. We vragen je begrip hiervoor. 

Benieuwd naar de impact van eerdere tips?

Van kamervragen tot petities en maatschappelijk debat: samen met jou pakken we systemisch falen en onrecht aan. Benieuwd naar de impact van eerdere onderzoeken en ingezonden tips? Bekijk dan nu ons track record.