PSA：在公共Trello板上保存密码是一个非常糟糕的主意

如果你在可公开访问的网页上放置了某些东西，你应该假定它可以（并且最终会）被另一个人阅读。因此，我的意思是不要把你想保密的东西 - 比如密码和API证书 - 放在有人可能最终找到它们的地方。

听起来很明显，对吧？那是因为它就是事实。

也就是说，一位安全研究人员偶然发现了一个令人不安的趋势——Trello文档中存储敏感凭证的组织。攻击者可以通过Google搜索轻松找到这些内容。

研究人员Kushagra Pathak发现了一个名副其实的全权证书。其中包括电子邮件和社交媒体帐户的用户名和密码，以及可证明的更重要的内容，如SSH凭证，以及用于各种在线服务的API秘密，如亚马逊网络服务.

找到这些就像输入Google的东西一样简单：

inurl：https：//trello.com AND intext：ssh和intext：密码

令人惊讶的是，Pathak也遇到了一些使用公共Trello板来管理他们的bug奖励计划的组织。这很令人担忧，因为它们包含了一系列正在进行和尚未解决的安全问题。对手可以利用这些信息轻松地列举出网站或系统中的弱点并入侵，这可能会造成严重损害。

帕塔克告诉TNW他遇到了40起公司通过公共董事会意外泄露证书的案例。他通知有关各方遵循适当的道德信息披露规范。尽管如此，许多人还没有解决这个问题，也没有人向他支付过bug的奖金 - 这非常吝啬。

您可以阅读上述的全部帕塔克的博客文章对FreeCodeCamp提出的细节。需要强调的是，Trello实际上并不是问题的核心，人们不恰当地使用该服务的公共部分来存储敏感凭证才是问题的核心。

正如一位聪明人曾经说过的那样，“没有人类愚蠢的补丁。”

我如何使用简单的Google搜索从 Kushagra Pathak / FreeCodeCamp上的数十个公共Trello板卡中挖掘密码