Trello(トレロ)で個人情報流出！自分の情報が出てないか確認する方法は？銀行口座ID･パスワード免許証など

タスク管理ツール「Trello（トレロ）」を複数の企業が公開設定のままにしていたといい、個人情報が流出してしまったようなのです。

いったいなぜこんなことが起こったのでしょうか。

自分の情報が公開されていないか確認する方法はあるのかについてまで、詳しく調べてみました！

Trelloで複数企業の情報が多数流出

タスク管理ツールTrelloで複数企業の情報が多数流出したことが分かりました。

タスク管理ツール「Trello（トレロ）」の情報が、設定によって誰でも見られる状態にある。

企業が扱う個人情報も閲覧可能になっていたことから、4月5日ごろからインターネット上で指摘が相次ぎ、情報の掘り起こしが進む事態になっていた。

多くの場合は、すでに非公開に設定変更されているが、取材されるまで知らなかったという企業も。急ぎ対応が求められる。

なんと、すぐに気付かなかった企業もあるということなんですね。

Trelloは利用者が公開レベルを非公開や公開で選べるということで、それが問題となっているようなのです。

なぜ情報が流出したのか？

Trelloはページ単位でそのページを「公開」するか「非公開」にするか選ぶことができます。

また「チームのみに公開」など細かくも設定できるので、社内だけで見たいということもできます。

todo管理アプリtrello
公開範囲「公開」だとgoogleから検索できてしまう模様

現在、個人情報、社外秘資料ダダ漏れで匿名掲示板を中心に祭り発生中

各自、要確認 pic.twitter.com/2htcWHcS0k

— satoru.net (@satorunet) April 5, 2021

最初は「公開」の設定になっており、それはTrelloを利用する際の注意書きにも書かれています。

しかしそこを読むことなく、最初の公開設定のまま気付かずに何年も世界中に情報を公開し続けている方がいた、というわけなんですね。

Trelloとは？

「Trello（トレロ）」とは、豪Atlassian（アトラシアン）が提供するタスク管理サービスのことです。

WEB上で仕事の進行具合を管理することができ、会社などで多く利用されています。

流出した内容のまとめ

ではいったいどんな内容が流出したのか、まとめてみました。

・就活生の個人情報（顔写真、名前、住所、電話番号）

・パスワードやクレジットカード情報

・就活生の採用情報、評価

・健康診断の結果

・パートナーとのデートプラン

・企業が営業をかけている企業のリスト

・サービス付き高齢者向け住宅の入居者などの情報

・病気の経歴

こちらはほんの一部ですが、明らかに個人情報ともとれる内容が流出していました。

Trelloから流出したもの pic.twitter.com/qZralCm93D

— わんちゃん (@wanpidayo) April 5, 2021

どんな情報が公開されていたのか？

・銀行口座のIDとPW

ある企業で経理担当者がTrelloを導入していました。

そこで銀行口座のIDとPWを管理していたのですが、それを気付かずに公開状態にしていました。

今のところ被害はなかったようですが、気付いた人にログインされたらおしまいですよね・・・。

・免許証や保険証の個人情報

反社に対して売られた個人情報も管理されていたといいます。

顔写真入りの免許証も公開されており、その人のいわゆる闇アルバイト歴まで公開されていたとか。

このように、具体的な被害も明らかになっています。

Trelloの公開問題、採用情報よりヤバいの見つけたわ。パスワードとか暗証番号とかメモ帳替わりに書いてる奴がいる。。 pic.twitter.com/8sUpxkwe3X

— てとら@ITなんでも屋 (@TETRA_IT) April 6, 2021

自分ではメモ代わりにしていたのが、世界に公開されていたと思うと恐ろしすぎますよね・・・。

自分の名前が公開されているか確認する方法はある？

自分で確認する方法があり、Trello（トレロ）を利用している方はいますぐ確認してください。

Google検索→「site:trello.com〇〇〇〇」〇にはご自身の名前を入れて入力してみてください。

それか、設定ページで公開設定になってないか確認してください。

心配になって自分の使ってるtrelloの公開範囲設定を確認してみたんだけど「インターネットに接続（Googleを含む）しているすべての人がこのボードを閲覧できます。」までしっかり書いてあるのね。これはさすがにtrelloのせいにはできんｗ pic.twitter.com/bWRTacQ6WC

— 鷹野凌@HON.jp (@ryou_takano) April 5, 2021

世間の反応

パスワードとかapikeyとか直接trelloに記載しちゃってるやつもあるな…<br>二次被害多そう

Trelloの公開設定の件、アフォすぎるな。そもそも採用情報をTrelloで管理するって（確かに便利な気もするけど）、リテラシー低い人には思いつかない発想だからどっかの会社とかコンサルとかが便利な手法として吹き込んだんだろうね

Trelloの公開設定の件見ると、社内サーバに採用不採用理由おいて全社員に見えるようにしていた前職はまだかわいいもんだったんだなぁって

「いうこときかなそう（洗脳しにくそう」って不採用理由開示されていてどんびいたもんだけど

Trelloの件、Trelloが悪いんじゃなくて公開設定にしたまま個人情報乗っけてる企業が悪いってことだよね？

Trelloの件で悪い人

Trello→デフォ公開設定が悪い

企業→個人情報取り扱いがなってなくて悪い

利用者→なんもわるくない

ガレソ→フォロワーの数を顧みず拡散した悪い

Trelloが最初から公開ではなく非公開設定にしておく、または利用する人たちがきちんと意識を持って管理をするのどちらかしか防ぐ方法はないですよね。

まとめ

以上、Trelloの情報流出について調べてみました。

自分はTrelloを使ってないから関係ない！と思いがちですが、自分が関わった企業などが使っていて自分の情報がもれている可能性がありますよね・・・。

Trello自身の対応はないのでしょうか。

それか使っている人すべてが強制的に公開設定を確認するようにしなければなりません。