当员工把密码公布在网上之后……

在网上以明文形式存储密码从来都不是一个好主意，但值得注意的是，有很多公司的员工都在使用像Trello.com这样的在线协作工具来做这件事。

上周，KrebsOnSecurity得到通知，称许多公司的员工们正在使用Trello共享敏感的内部资源的密码。在这些活动中面临风险的企业包括一家保险公司、一家政府机构以及叫车服务公司Uber。

默认情况下，企业和个人使用的Trello看板（Board）要么是私有的（需要一个密码来查看内容），要么是团队可见的（协作团队的批准成员可以查看）。

但这并不能阻止个人Trello用户手动分享包括专有雇主数据的个人看板，重要的是，这些信息可以被搜索引擎索引，以至于任何人使用网络浏览器的人都可以看到。这对企业来说是极其不幸的，因为有太多的员工将敏感的内部密码和其他资源发布在自己的个人看板上，造成所有的信息线上公开。

一个由Uber员工创建的个人Trello，包含的密码可能暴露出了公司的内部运营

上周，KrebsOnSecurity通过谷歌发现了未受保护的个人Trello看板，列出了其雇主的密码以及其他敏感数据。上图是由Uber在亚太地区的开发者创建的个人Trello看板，其中包括了大量查看公司内部谷歌文档和图片所需的密码。

Uber发言人Melanie Ensign表示，在收到通知后不久，Uber就发现了未经授权的Trello看板公开了与南美两名用户有关的信息，这些用户之后得到了通知。

“从全球来看，总有一些地方的Uber员工没有意识到他们正在公开分享这些信息。我们已经联系了这些团队，提醒他们这些事情背后存在的风险。员工意识是一直存在的挑战，也许在这件事情上我们躲过了一劫，但说实话，可能还会有更严重的情况发生。”

Ensign表示关于Trello暴露信息的最初报告是通过该公司的漏洞赏金计划披露的，报告这件事情的人至少会得到500美元的奖励（Uber暂时还未确定是否应该针对此事件提高奖励金额）。

Ensign称，创建该看板的员工“利用他们的工作邮件打开了一个本不应该看的公共看板。同时，它们也并没有通过企业账户进行创建。这一事件是公司的漏洞悬赏计划发现的，虽然从技术上说，这不是我们产品的弱点，但我们总会为此付出代价的。”

当然，并不是每家公司都有一个漏洞悬赏计划来激励发现或者私下报告内部资源泄露问题的，但总有些资源会在不经意间暴露在网上，Trello只是其中之一。

Trello只是位于澳大利亚悉尼的科技公司Atlassian Corporation PLC开发的众多在线协作工具之一。Trello的联合创始人Michael Pryor表示，Trello的看板默认设置是私有的，用户必须手动才能将其更改为Public。

Pryor称：“我们会在确认用户创办公共看板的意图之前，建立安全的保障机制。此外，可见性设置还会持续显示在每个看板的顶端。”

有趣的是，上个周末，Trello的隐私政策的更新，可能会让公司更容易找到员工创建的个人看板，并将其隐藏起来。

Trello的以为发言人表示，隐私方面的改变是为了让该公司的政策符合本月晚些时候即将生效的新欧盟隐私保护法。但他们也澄清道，Trello的企业功能允许企业管理员控制员工在购买企业产品之前可能已经创建的工作账户的安全性和许可权。

对此，Uber发言人Ensign表示欢迎。“这样一来，公司对由前雇员或承包商创建的Trello看板会拥有更多的安全控制权，我们很高兴看到这一变化。”