Waar ben je naar op zoek?

"Bedrijven en andere partijen moeten ervoor zorgen dat hun digitale veiligheid conform de norm wordt gehandhaafd." Dat zegt de Autoriteit Persoonsgegevens, nadat ze inzicht kregen in de resultaten van het onderzoek van Reporter Radio en NRC naar openstaande Trello-borden. Door verkeerd gebruik van deze samenwerkingsapplicatie zijn er velen persoonsgegevens op straat komen te liggen

Trello vergemakkelijkt het online samenwerken, maar gebruikers van de app zetten hiermee onbedoeld veel privacygevoelige informatie online. Het is niet moeilijk om met slimme Google zoekopdrachten, tal van e-mailadressen en telefoonnummers op tafel te krijgen.

Ook zijn er wachtwoorden van e-mailadressen, websites, FTP-servers en van PayPal accounts te vinden. De standaard instelling op de zogeheten 'Trello-boards' zorgt ervoor dat de borden niet publiekelijk te vinden zijn. Gebruikers kunnen er zelf voor kiezen om het bord op openbaar te zetten, met alle gevolgen van dien.

De privacy-waakhond vindt "dit er op z'n minst slordig uitzien en ziet hierin ook een mogelijk gevaar voor de privacy als er persoonsgegevens bij betrokken zijn. Daarnaast wijzen we erop dat het gebruik van deze of andere applicaties een risico kan vormen voor de persoonsgegeven en dat partijen dan ook meld plichtig zijn voor datalekken."

Hoe deden wij ons onderzoek?

Er is geen database te vinden van openstaande Trello-borden, deze is echter wel zelf te maken. Openstaande Trello-borden worden namelijk geïndexeerd door zoekmachines als Google. Dit betekent dat er gemakkelijk naar openstaande Trello-borden te zoeken is met zo geheten search operators.

Het onderzoek begon door te Googlen op inurl:https://trello.com/b/; zo zorg je ervoor dat elk resultaat dat je krijgt van Google op openbare Trello-borden uitkomt. De /b/ in de link betekent dat je op een bord bent.

De volgende stap die we maakten, was het zoeken naar persoonlijke e-mailadressen. We maakte de volgende zoekopdracht: inurl:https://trello.com AND intext:@gmail.com. Elk zoekresultaat levert een Gmailadres op, dat op een openbaar Trello-bord staat.

De hoeveelheid is schokkend, tientallen pagina’s met unieke e-mailadressen komen naar voren. Om op bijvoorbeeld wachtwoorden te zoeken, typen we in: inurl:https://trello.com AND intext:gmail.com AND intext:password. Het resultaat is schokkend, we vinden zonder enige moeite honderden wachtwoorden van e-mailadressen. Op deze manier bleek het ook niet moeilijk te zijn om inloggegevens van een hoop andere diensten te vinden.

Niet vindbaar

Trello laat in een reactie weten dat ze hun best doen, om gebruikers duidelijk te maken dat openbare Trello-borden worden geïndexeerd door zoekmachines. Op de vraag waarom ze er niet voor zorgen dat de openstaande Trello-borden niet vindbaar zijn door zoekmachines, gaven ze geen antwoord

De zwakke plek van samenwerkingsapp Trello

Onderdeel van Misinformatie en privacy Technologie

Ook interessant

Marieke Kuypers en Gerrit Hiemstra
| Video

Pointer checkt: waarom een aliensekte het einde van de wereld voorspelt

Allatra verspreidt desinformatie over onder andere de klimaatcrisis en heeft veel volgers op social media.

Hydroloog over kraanwater in Nederland
| Artikel

Zitten er medicijnresten in ons kraanwater? Vijf vragen aan een expert

Hoe zit het met medicijnen in ons kraanwater? Hydroloog Peter van Diepenbeek geeft antwoord op vijf vragen over ons Nederlandse kraanwater.

Frans Timmermans spreekt met de handen voor de borst
| Factcheck

GL-PvdA lijsttrekker Timmermans struikelt over plannen gehate erfbelasting

Volgens Frans Timmermans hoeven erfgenamen geen erfbelasting te betalen over de opbrengst uit de eigen koopwoning. Klopt dit wel?