タスク管理ツール「Trello」を公開設定で使っている企業が多数見つかり漏洩騒ぎに 76
ストーリー by nagazou
Oh!人事 部門より
Oh!人事 部門より
あるAnonymous Coward 曰く、
4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ(ITmedia、Twitterのまとめ)。
「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで(デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる)、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。
採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。
漏洩騒ぎではない (スコア:5, すばらしい洞察)
公開設定にしたのはユーザー本人なので、漏洩騒ぎではなく公開騒ぎ
公開時には注意喚起もされるのに読んでいないのだとしたらそれがおかしい
そして公開したのなら検索BOTにクロールされて当然
公開者がおもちゃにされてるだけ
Re:漏洩騒ぎではない (スコア:3)
まあ、バカはどんな設定UIにしてもミスをするだろうけど
「Public」ってボタンを「公開」と訳してしまうと間違いやすいのでは。
「全世界に公開」って書けば間違って公開してしまう人は減るかも
Re:漏洩騒ぎではない (スコア:4, 参考になる)
公開にしようとすると、プライバシー設定を使って Trello ワークフローを安全に保護 [trello.com]にも記載のある、
これらのボードは、同じ会社の社員でなくても、リンクを知っていれば誰でも見ることができると覚えておいてください。これらは公開されたリンクのため、検索結果に表示されることもあります。
カードを移動または編集できるのは公開ボードのメンバーだけですが、非メンバーや Trello にサインインしていないユーザーでも、すべてのカードと裏面を見ることができます。疑問に思われるかもしれませんが、ボードはチーム内で共有できるのに、この公開ボードは誰が必要とするのでしょうか?
理由はこちらです:
公開のロードマップ: Slack や Twitter (または Trello!) のような大企業は、多くの場合、一般ユーザーと公開された場でコミュニケーションをとることが必要で、それによりユーザーはその会社の今後について期待ができます。
公開のロードマップには、新しい機能のアップデートや製品の機能方法の変更を盛り込むことができます。ユーザーと外部の開発者にとって、今後の動きを知るのに役立ちます。一部の企業では、投票 Power-Up を有効にして、ユーザーが見たい機能につい投票できるようにしています。また、Buffer の公開 Trello ボードでお馴染みの、カードへのコメントを許可 することもできます。
Twitter は、API デベロッパーに対して、公開の Trello ボード上で API プラットフォームをリリースし、優先されている機能と廃止されている機能について情報提供しました。
上記の注意が表示されます。
Re:漏洩騒ぎではない (スコア:3, 興味深い)
むしろprivateの意味を誤解したのではないか?
仕事で使うんだから私用じゃないよな、とか。
Re:漏洩騒ぎではない (スコア:3, 参考になる)
むしろprivateの意味を誤解したのではないか?
仕事で使うんだから私用じゃないよな、とか。
記事だけ読んでUIに英単語が残ってるんだと思って書き込んじゃった。
完全に日本語化されてて「非公開」「チーム」「公開」の3種から選ぶんだね。
しかもそれぞれの項目に説明文まであるし。
これでなお間違いを犯す人間がいるのか。
Re:漏洩騒ぎではない (スコア:2)
「公開」だけ見て「都合のいい範囲での公開」と誤解したんだろうな
あるいは操作ミスかも
Re: (スコア:0)
>「公開」だけ見て「都合のいい範囲での公開」と誤解
ああ…そういう人いるよな…
奴らにはすべてのUIが「よしなに」と見えているんだろう
Re:漏洩騒ぎではない (スコア:1)
完全に日本語化されてて「非公開」「チーム」「公開」の3種から選ぶんだね。
しかもそれぞれの項目に説明文まであるし。
これでなお間違いを犯す人間がいるのか。
その考えは非常に危険です
この手の間違いを犯す人間は
幼稚園児より阿呆であり
幼稚園児より聞き分けがない
というのが特徴です
この特徴は権威が高い者ほど
よく見られる傾向にありますので
権限システムには触らせないことはもとより
権限システムの存在自体を認識させないことが重要です
教育や説得が通じると思ってはいけません
Re: (スコア:0)
パパ活とかアムウェイとかしてる連中だもんなあ
Re:漏洩騒ぎではない (スコア:3, おもしろおかしい)
> 「公開」と訳してしまうと間違いやすいのでは
「後悔」って表示しとけば間違わないかも。
Re:漏洩騒ぎではない (スコア:1)
「選ぶなよ!絶対選ぶなよ!」
Re: (スコア:0)
「どいつもこいつも誤字ばかりだ。ぽちっとな」となるんじゃないかね、ここ基準だと。
Re: (スコア:0)
皆が逆走してる!みたいな。
Re:漏洩騒ぎではない (スコア:2)
これ、利用者のアカウント管理とアクセス権管理という永遠の課題から由来するんではないかと。ふつーの人は青い文字をクリックしたらすぐ画面が出て見られないとダメだし、閲覧権限の管理権限なんて管理できないんですよ。
Re: (スコア:0)
「公開」の訳語置きかえ候補生
Re:漏洩騒ぎではない (スコア:1)
Re: (スコア:0)
3. IDで恥ずかし発言
Re:漏洩騒ぎではない (スコア:1)
きっとnekopon氏は相撲好きなのでしょう。
Re: (スコア:0)
丸見え
Re: (スコア:0)
「全世界に公開」って書けば間違って公開してしまう人は減るかも
無理じゃないかなぁ
「意図的に情報を漏洩して賠償金を支払う」
にしてクリック後に保証金を積む画面に遷移し
入金確認後でないと公開されない
くらいじゃないと減らないと思われ
# それでもやらかす阿呆はゼロにはならないのだろうけれど
Re: (スコア:0)
「公開」をインターネットで不特定多数に公開されるとはおもわずに使ってしまった人が多いんでしょう
「公開」を選ぶときに、そういったことを明示的に警告する画面が出て再確認が必要なUIにしなかったサービス提供者にも問題がある
Re:漏洩騒ぎではない (スコア:5, 参考になる)
Trelloの公開ボードについて - Atlassian Japan 公式ブログ | アトラシアン株式会社 [atlassian.com]
※引用者注:手元では「非公開」ではなく「チームに公開」が初期設定となっていることを確認
実際の警告画面
https://twitter.com/ryou_takano/status/1379196534651187201 [twitter.com]
https://twitter.com/takapon_xp/status/1379230239675490306 [twitter.com]
Re: (スコア:0)
そもそも「インターネットで不特定多数に公開」という概念を理解していないのでは。個人「ホームページ」の時代にもわんさといたし、スマホのアプリシフトで一般人は生の「インターネット」を見なくなってからさらに加速した感がある。
Re: (スコア:0)
> 公開設定にしたのはユーザー本人なので、漏洩騒ぎではなく公開騒ぎ
自爆のケースは別として、公開されちゃった側から見れば、「Trelloユーザーが公開しちゃったことによる漏洩」という騒ぎなんじゃないのかね。
てか社外秘情報を無料サービスで共有って普通なん? (スコア:1)
LINEみたいに無断で覗かれてるかもしれんのに。
まあ、有料サービスなら絶対安全ってわけでもないが、有料なら会社に金出してもらう確認のフェーズを経るわけで、そこで情報を社外のサービスで管理していいかどうかのチェックが入るよな。
Re:てか社外秘情報を無料サービスで共有って普通なん? (スコア:1)
まともな会社なら、無料サービスでも使っていいかのチェックは入るし、
なんならCASBとかでアクセス管理もされてる。
インシデントの集合体としては (スコア:0)
過去最悪かもね。個々のインシデントだけでも十二分にヤバいのあるし。
とはいえTrelloに責任があるわけじゃないし、バックれるのとかも出てくるんだろうなぁ。
似たような話として (スコア:0)
Googleグループで「社外秘」で検索するといろいろ出てくる話を思い出した(少し前の話だから今もそうなのかはわからない)
Re: (スコア:0)
こっちの話 [srad.jp]を思い出した。
そろそろ、気づけよ (スコア:0)
クラウドサービス使ってる時点で流出しているようなものだと。
ユーザーの意図は「公開」なんだからGoogle検索に拾ってほしいかもしれない (スコア:1)
いやその理屈はおかしい。ユーザー側が「公開」を選んだ意図はGoogle検索で拾ってほしいかもしれないんだから、一律運営側が勝手にnoindexを入れられないでしょうよ。
公開だけどGoogle検索で拾ってほしくない人ばかりじゃないんだから、そんなの運営側では勝手に判断できないわ。
公開したくないんだったら、自分で非公開にするのが当然。
Re: (スコア:0)
クロール対象にするかどうかの設定も用意してやればいい
Re: (スコア:0)
ちょっと難易度高くない?
でもデフォルトOFFなら問題ねーか?
でもそれで「検索しても出てこないし、公開されてないなよしよし」とか思われるのも…
うーん
いやでも到達難易度が劇的に上がるからいいのかな
Re: (スコア:0)
そもそも今回の場合で公開するけどGoogle検索して欲しくないシチュエーションなんてあるんですかね。
自分はちょっと思いつかない。
所謂「URLを知っている人だけに公開」をしたいのだとしてもこのツールの公開はそういう意図じゃないし、タスク管理ツールでそういう需要があるかも疑問。
Re: (スコア:0)
いちいちログインしなくても見れるっていうメリットがね。このサービスはどうかしらないけど一定時間経つと自動ログアウトされるとか二段階認証強要されてうざいことは多々ある。
Re: (スコア:0)
公開しているけど、見られたくないシチュエーションというのは、
noindexをつけたことで話題になったニュースとかありますし、
少なくはないのでは?
# 結局はオモラシした言い訳でしょ
# いい加減オムツをはくべき
Re: (スコア:0)
>一律運営側が勝手にnoindexを入れられないでしょうよ。
運営側がウチのサービスはこういうもんです、と勝手に設計してやってることなので、入れられないって事はないと思うけど。
情報公開サービスですよー、と売りに出す場合なら、noindexが付いてる設計は人気が出ないかも知れないから避けよう、とするとか。
なんでも好きに決めて、そういうサービスです、嫌なら使うな、とすれば良い。
Re:これは運営の責任 (スコア:1)
公開にするときに表示される注意書き [srad.jp]に、
これらは公開されたリンクのため、検索結果に表示されることもあります。
ともあるんだから意図した動きなんじゃないの?
Re: (スコア:0)
仕様の設計ミスということだね。意図通りであればそれが良いこととは限らない
Re:これは運営の責任 (スコア:1)
「公開」にしたときの注意書きに、超丁寧に使い方の例まで
書いてあるくらいなんだから、仕様の設計ミスとか、それはない。
Re:これは運営の責任 (スコア:1)
今更だけど、この「超丁寧な使い方の例」っていつ書かれたんんでしょうね。
説明書きが丁寧になっていく背景には、それまでのユーザーからのクレームが反映されている、なんてことはありがちですが。
Twitter情報なんて真偽不明ですが、リリース当初は「公開」がデフォルトだったなんて書き込みもありました。
単なる想像ですが、当初は公開がデフォルトで、「Googleの検索結果に出てる!」なんてクレームが来たからデフォルトを変えて説明書きを追加したけど、既存のユーザーには案内しなかった、なんて経緯があれば運営の責任もゼロとは言えないかと。
Re: (スコア:0)
「公開」にしたときの注意書きに、超丁寧に使い方の例まで
書いてあるくらいなんだから、仕様の設計ミスとか、それはない。
うんむしろ漏洩使用者の頭の作りが設計ミス起こしているのかも
Re: (スコア:0)
パスワード設定みたいなもんだよ。「危険だから英数字混ぜて8文字以上にしましょう。よくある単語にするのはやめましょう」とか説明してもシステム上可能なら「a」の一文字パスワードに設定したりする。
「一文字でも設定できるのは仕様だ。丁寧に説明しているのにそんな脆弱なパスワードにするのが悪い」
確かにそうだけどそうじゃない。最初からそういうパスワードは設定できないようにしてしまえと。
#ユーザーは常識を疑うレベルのバカだと思え
Re:これは運営の責任 (スコア:2, すばらしい洞察)
パスワードはシステム的に要件を定めた上で、それに合わない入力はrejectして、合致する入力だけacceptするようにできるけど。
「誰でも見れて検索に引っかかります」の意味やリスクを理解できない人をrejectして、理解した上で公開状態を望む人だけをacceptすることはシステム的にはできないんだから、パスワードの話と一緒くたにするのは筋違いでしょ。
Re:これは運営の責任 (スコア:1)
// そしてマスコミは多数の味方
Re: (スコア:0)
仕様の設計ミスということだね。意図通りであればそれが良いこととは限らない
非公開があるんだからユーザーのミスだろ。リスクもきちんと説明されてるんだし。
「自分の感覚にあわないから設計ミス」というなら、手前できちんと金払って自分用のツール作らせればいいじゃん。
TodoistやEvernoteも (スコア:1)
競合のTodoistの有料版で、タスクにファイル保存できる機能があるが、URL知っていれば誰でもファイル見れる状態だったこともある。
今は本人がログインしないと見れなくなってるので修正済みだが。
https://www.yagitower.com/todoist-attachment/ [yagitower.com]
Evernoteもノートのリンクを作成したら、確認しないと同時に誰でも見れる共有状態になったりするし、気をつけないとヤバイ。
ちなみに「site:evernote.com/shard/」で検索するとやばいものが見つかる。
次のお祭りかも・・・
Re: (スコア:0)
これに一票
gooogleが鳴かねば拾われまい
Re: (スコア:0)
無断リンク禁止って書いとけばいいかもね。
Re: (スコア:0)
競合のNotionはnoindex付いてるらしいですね
ただそれって検索エンジンへのお願いに過ぎないので、それを無視するOSINT検索エンジンに収集されてるのが見つかれば終わり
「運営はそうした方が良かった」なら分かるけど「運営の責任」にしちゃうのは極論が過ぎる