TIP#1976: Hlídáte si v Trello, zda jste nezpřístupnili nástěnky celému světu?

Někdy před zhruba týdnem jsem narazil na firemní Trello, které bylo komplet otevřené. Veřejně otevřené. Našel jsem tam smlouvy, rodná čísla, telefony, adresy, ale třeba i vzájemné výtky a obviňování, kdo může za neplnění něčeho. 

Přimělo mě to ke klasickému odchodu na Google a zkoušení vyhledávání na věci, jako je “rodné číslo”, “číslo smlouvy” (a pár dalších oblíbených poznávacích znamení osobních údajů a informaci) s omezení na Trello.com. A našel jsem řadu dalších příkladů. 

Klasický problém chybného nastavení přístupových práv. Řešilo se to tu už u Google Dokumentů/Disku – Jak zjistím co všechno v Google Disku (Docs) sdílím s určitým člověkem či veřejně? A jak to sdílení odstranit? a hlavně v Když už sdílíte něco v Google Docs (prostě v cloudu), hlídejte si velmi důsledně práva.

Týká se to každé online služby, která umožňuje přidělovat přístupy (a hlavně nechat něco veřejně/volně přístupné z Internetu).  Takže vedle zmíněného Google či probíraného Trello je to i otázka pro veškeré cloudy (Microsoft, Dropbox, atd) a stovky dalších služeb.

Mezi objevenými komplet veřejně přístupnými byla i poměrně velká organizace, která tam má přes desítku nástěnek a v nich všechno. Zajímavé na tom je, že to tak má záměrně (protože chtějí být transparentní). Osobně bych se trochu obával toho, že je obtížně uhlídatelné, aby se ve vkládaných informacích neobjevilo něco, co by tam být nemělo. Ale tady o tom věděli, protože si to tak nastavili.

V řadě objevených nástěnek jsou navíc dostupné přílohy a to velmi často v podobě kompletních smluv se všemi osobními i důvěrnými údaji. 

Co si ohlídat

V Trello je to poměrně jednoduché – v rámci nástěnky najdete nahoře nastavení druhu přístupu. Od Soukromá (pouze vy) až po Pracovní prostor (ti co jsou členy mají přístup) a Organizace (opět, kdo jsou členy, mají přístup). Velmi opatrně je pak třeba zacházet s Veřejná – nejen že se tam může dostat kdokoliv, ale tyhle nástěnky se objeví i ve vyhledávačích (nejenom v Google).

Problém si můžete pořídit i pomoci Pozvat – kde vznikne odkaz, který kdokoliv může použít po přístup. Pokud se takovýto odkaz dostane k někomu nepovolanému, rázem máte problém. Pokud se dostane někam na web tak se rázem i tímto způsobem může nástěnka stát veřejně přístupnou.

Třetí možný zdroj komplikací je, že dáte někomu práva přidávat další uživatele (správce) a on bude přidávat lidi, které přidat nemá. Ať už záměrně, nebo omylem použitím chybného účtu v Trello – tamní našeptávač je schopný doporučit někoho zcela jiného, než “František Novák”, které jste opravdu chtěli pozvat. Chyba se dá klasicky udělat i v e-mailu.  Což ostatně můžete udělat i vy a místo práv pro kolegu rázem zpřístupníte Trello pro někoho zcela cizího.

Poslední komplikací může být, že necháváte v přístupech lidi, kteří už nejsou členy týmu a přístup mít nemají. Zásadně častý problém ve všech cloudových úložištích. 

Přístupné nástěnky znamenají i to, že kdokoliv může vidět přidané členy. Což může být také něco, co možná není vhodné ukazovat každému. 

Co byste měli v Trellu čas od času udělat?

Proklikat si nástěnky a zkontrolovat, zda nejsou veřejně přístupné a také kdo má přístupová práva. A odhalené nedostatky napravit. Trochu to bude komplikovat to, že to opravdu musíte “proklikat”. Nikde tam není žádné místo s přehledem nastavení soukromí pro všechny nástěnky. Ani kontrola schopná ukázat “co všechno je přístupné veřejně”. 

Pozor, pokud jste měli nějakou nástěnku otevřenou, tak určitou dobu zůstane v Google Cache (a dalších podobných nástrojích, viz Kde se podívat jak nějaký web či stránka vypadal v minulosti? Zkuste Internet Archive: Wayback Machine, Google Cache a další). 

PS: Pokud se chcete v Google podívat na všechny veřejně přístupné nástěnky, tak je to velmi jednoduché. Použijte site:trello.com/b/ a site:trello.com/c/ (ale stačí i site:trello.com)