ToDo・タスク管理ツールのアプリである「Trello(トレロ)」に登録している人物や企業の個人・プライバシー情報がネット上に漏洩・流出。誰でも見れるような状態になっていることが問題になっています。
Trelloでは公開設定にしているとGoogle検索で表示されるるため、本人以外やTrelloを使っていないユーザーでも個人情報などが閲覧できるのです。中でもある企業が公開設定していた就活生に対する不採用理由が公開されるなどの事案も発生しています。
この記事の目次
【Trello(トレロ)で個人情報が流出・漏洩!企業が就活生の採用情報を公開状態に
Trelloは世界で2,000万人以上のユーザーが使用しているToDO・タスク管理ツールです。情報をカードに書き込みボードで管理。ドラック&ドロップでの操作で簡単に情報を整理・管理できるため一定の利用者から使いやすいとの声があります。
タスクひとつひとつを「Card(カード)」として登録し、「Board(ボード)」と呼ばれている場所で管理します。そしてタスクの進捗ごとに、未着手・着手・確認待ちといった「List(リスト)」に移していくことで、ステータスを管理できます。
[/aside]まず、なぜTrelloの個人情報が流出しているのが判明したかというと、4月5日の夜に2ch(5ch)の「ヤバいサイト見つけたんやが… 」スレにおいてユーザーが検索していたら就活生の個人情報が見れるという書き込みをしたのが発端です。
その後、個人情報が見れてしまうサイトが「Trello(トレロ)」と判明。サイトが判明するとスレが伸び、情報が拡散されTwitterでも話題に。特に10万人以上のフォロワーを誇るあるインフルエンサーがTrelloで公開されている就活生の情報が漏洩しているとリンク付きでツイートしたことでより多くの人に知れ渡ったようです。(※ツイートは現在削除済み)
つまり、今回のTrelloの個人情報流出は急に起きたものではなく、ある人物がTrelloという管理ツールで公開されている情報が誰でも見れてしまう状況であると5chに書き込み。その情報が多くの人に知れ渡ったということになります。流出というよりは公開されていると言った方が近いかもしれません。
中でも企業が公開していた就活生の不採用についてのコメントはかなり生々しいものになっています。
- 就活生の個人情報(顔写真、本名、住所、電話番号など)
- 就活生の採用情報漏らすバカ企業と不採用者をボロカスに貶すバカ人事
- パスワードやクレカ情報、口座番号やマイナンバーなどをメモ代わりに書いてるバカ
- 社内パスワード全晒し企業
- 企業の顧客情報
- 楽天銀行の暗証番号とパスワード
- YouTubeアカウントのパスワード、クレカ情報、銀行口座、住所をセルフ開示してるバカップル
- 片想いしてる女医の電話番号や生年月日など晒しまくってるメンヘラストーカー医学部男
- 未成年の水商売志望者の個人情報晒してる反社
- 風〇志望女のパスポート画像晒してる反社
- 免許証画像を晒しまくってる反社
- A〇女優の個人情報
- ホロライブのVTuber、さくらみこのネタ帳
- 漫画家の編集のスケジュール表
- さかなクンのマネージャーのスケジュール表
- 橋本岳(厚労副大臣)の後援会のプライベート情報
- パパ活してるアホ
- ワクチン治験者リスト
- 省庁の情報書き込んでるバカ
- 企業間(しかも大企業)の取引書き込んでるバカ
- テレビ番組のキャステイング進行表
- エルデンリングのネタバレ
- アムウェイの勧誘リスト(個人情報丸出し)
- 防衛省の発注先の会社の内部情報(非公開済み)
- ロイター通信記者のバズフィード記事原案
- 給付金給付状況
- A〇の無〇正動画まとめ
- オリンピック事務局の案件
Trello(トレロ)で個人情報が流出した原因はデフォルトの公開設定にあり!
企業がTrelloで管理していた活生などの個人情報や流出していますが、Trello側に原因があったわけではありません。Trelloは最新バージョンだとデフォルトでの公開設定が「非公開」になっていると言われています。そのため、管理している側が知らないうちに公開設定にしていた可能性があります。
そして、公開設定にしてまうとGoogle検索にも反映されてしまうため、Trelloを使っていない人でも検索すれば簡単に個人情報が見れてしまうのです。
非公開:ボードのメンバーのみがこのボードを閲覧および編集できます。
チーム:チームのすべてのメンバーがこのボードを閲覧および編集できます、この機能を有効にするには、ボードをチームに追加する必要があります。
組織:組織内のすべてのメンバーがこのボードを閲覧できます。この機能を有効にするにはボードをエンタープライズチームに追加する必要があります。
公開:インターネットに接続(Googleを含む)しているすべての人がこのボードを閲覧できます。ボードメンバーのみが編集できます。
[/aside]公式サイトでも公開設定に関しては特殊なケースであると注意換気は行われています。そのため今回の個人情報流出はTrello側に原因があったというよりは、Trelloが設定している公開についての情報を把握していなかった個人や企業の危機管理に問題があったこということになります。
公開のボードは、かなり特殊なケースで非常に有効です。
これらのボードは、同じ会社の社員でなくても、リンクを知っていれば誰でも見ることができると覚えておいてください。これらは公開されたリンクのため、検索結果に表示されることもあります。
カードを移動または編集できるのは公開ボードのメンバーだけですが、非メンバーや Trello にサインインしていないユーザーでも、すべてのカードと裏面を見ることができます。
以前からTrelloでは個人情報が簡単に見れてしまう危険性があったわけですが、利用者の多くが公開設定をしてもGoogle検索に反映されるだけ閲覧できない状態だと誤認していたのかもしれません。そして今回、2ch(5ch)やTwitterで個人情報が見れると大々的に発覚したことで、改めてTrelloでの個人情報管理には大きなリスクがあると知れ渡ったということになります。
【追記】Trello(トレロ)の非公開設定と自分の個人情報が流出していないか確認する方法
Trelloで公開されている情報を非公開にするには「ホーム→設定→チームの公開範囲→非公開」に設定することで他人からの閲覧を防ぐことができます。
Trelloで作成済みのボードを非公開にする場合は、ボード内で設定します。
新規作成の場合は設定箇所があるのでご確認下さい。 pic.twitter.com/KxD9bJ9nh3— リゲルデザイン株式会社🦕 (@RIGEL_DESIGN) April 6, 2021
(画像:Trelloで作成済みのにボードを非公開にする場合)
(画像:Trelloで新たにボードを作成する場合)
また、Trelloに登録している方で自身の個人情報が流出していないかを確認する方法として「site:」検索があります。Google検索などに「site:http://trello.com 自分の名前」と打ち込むことで自分の名前がインターネット上に公開されているのか確認できます。
クロームのシークレットモードで自分のボードがインターネット上で公開されていないかを確認する方法も紹介しています。
企業などがTrelloで自分の名前を公開している場合はすぐに削除してもらうよう連絡しましょう。また、長い間使用しておらずアカウント登録だけしている方もいち早く非公開・削除することをおすすめします。
