Le informazioni pubbliche sugli account di oltre 15 milioni di utenti di Trello sono trapelate online dopo che un utente minaccioso ha deciso di regalarle su un forum di hacking.
Nel gennaio 2024, un utente con l'alias "emo" ha dichiarato di aver raccolto 15.115.516 indirizzi e-mail utilizzati per registrare account Trello, inserendo più di 500 milioni di e-mail in un'API non protetta, per vedere quali fossero utilizzate per un account sulla piattaforma. Oltre all'indirizzo e-mail, l'hacker ha ottenuto le informazioni sull'account Trello pubblico delle persone, nonché i loro nomi e cognomi.
A distanza di circa mezzo anno, lo stesso furfante sta vendendo il database sul forum di hacking Breached per otto crediti del sito. Secondo BleepingComputer, ciò equivale a 2,32 dollari.
Abuso delle API
"Trello aveva un endpoint API aperto che consente a qualsiasi utente non autenticato di mappare un indirizzo e-mail a un account Trello", ha detto l'autore della minaccia. "Inizialmente avevo intenzione di alimentare l'endpoint solo con email provenienti da database 'com' (OGU, RF, Breached, ecc.), ma ho deciso di continuare con le email finché non mi sono stufato".
Inizialmente, Trello ha negato di essere stato violato e ha affermato che l'hacker ha costruito il database a partire da informazioni pubbliche e di scarto. Ora ha confermato che l'incidente è stato causato da un'API non protetta:
"Grazie all'API REST di Trello, gli utenti di Trello hanno potuto invitare membri o ospiti alle loro bacheche pubbliche tramite indirizzo e-mail. Tuttavia, dato l'uso improprio dell'API scoperto in questa indagine del gennaio 2024, abbiamo apportato una modifica in modo che gli utenti/servizi non autenticati non possano richiedere le informazioni pubbliche di un altro utente via e-mail. Gli utenti autenticati possono comunque richiedere le informazioni disponibili pubblicamente sul profilo di un altro utente utilizzando questa API. Questa modifica rappresenta un equilibrio tra la prevenzione dell'uso improprio dell'API e il mantenimento della funzione di "invito a una bacheca pubblica via e-mail" per i nostri utenti. Continueremo a monitorare l'uso dell'API e a prendere le misure necessarie".
Sebbene la raccolta di informazioni pubbliche in questo modo non sembri un attacco particolarmente pericoloso, le informazioni possono comunque essere utilizzate per creare e-mail di phishing convincenti. Questo può portare a compromessi più distruttivi, come il furto di password, la diffusione di malware e altro ancora.
Trello è una piattaforma di gestione dei progetti su cui gli utenti (per lo più aziende) possono organizzare i compiti in colonne, o schede. La piattaforma avrebbe più di 40 milioni di utenti.
