Trello es una popular herramienta de gestión de proyectos conocida por su formato de lista kanban.
El martes, se compartió información personal vinculada a 15.115.516 perfiles de usuarios de Trello en un popular foro de piratería, como señaló por primera vez el sitio web de noticias sobre ciberseguridad. llamar a la computadora. Parece que un pirata informático descubrió una falla en el sistema de Trello y pudo extraer información privada confidencial del usuario.
Si bien la mayoría de los datos vinculados a una cuenta de Trello son datos públicos, no todos lo son. Con diferencia, la parte más importante de la infracción para los usuarios de Trello es la información de la dirección de correo electrónico.
Más de 15 millones de usuarios de Trello ahora tienen direcciones de correo electrónico personales asociadas con sus perfiles de Trello que están expuestas públicamente.
Ofertas de Prime Day que puedes comprar ahora
Los productos disponibles para comprar aquí a través de enlaces de afiliados son seleccionados por nuestro equipo de ventas. Mashable puede ganar una comisión de afiliado si compra algo a través de enlaces en nuestro sitio.
¿Cómo ha ocurrido?
La violación de datos de Trello y las filtraciones posteriores se remontan a principios de este año. llamar a la computadora observado por primera vez en enero que un hacker apodado “emo” estaba vendiendo datos de Trello en un foro de piratería para obtener más acceso a ellos esta semana.
La velocidad de la luz triturable
Desde entonces, tanto la empresa matriz de Trello, Atlassian, como “emo” (el hacker) han compartido más información sobre cómo se produjo la filtración.
Según una publicación del hacker en el foro, descubrieron que “Trello tiene un punto final API abierto que permite a cualquier usuario anónimo asignar una dirección de correo electrónico a una cuenta de Trello”. En correspondencia con Bleeping Computer, el hacker explicó además que cuando descubrieron la falla, reunieron una lista de cientos de millones de direcciones de correo electrónico y las compararon con cuentas de Trello en la API. A partir de ahí, “emo” pudo conectar esas direcciones de correo electrónico con cuentas de Trello y crear perfiles de usuario para más de 15 millones de cuentas.
Atlas confirmado El problema con Bleeping Computer dice en un comunicado que la API REST de Trello permite a los usuarios de Trello invitar a invitados a un foro público por correo electrónico. La compañía ha actualizado la API de Trello para mantener esta función y evitar que actores malintencionados la utilicen indebidamente.
“A la luz del mal uso de la API revelado en esta investigación de enero de 2024, hemos realizado cambios para que los usuarios/servicios no autenticados no puedan solicitar los datos públicos de otro usuario por correo electrónico”, dijo Atlassian en un comunicado. “Los usuarios autenticados aún pueden solicitar información que está disponible en el perfil de otro usuario utilizando esta API. Este cambio logra un equilibrio entre evitar el abuso de la API y mantener la función ‘invitación pública a la junta por correo electrónico’ funcionando para nuestros usuarios. Continuaremos monitorear el uso de API y tomar las medidas necesarias”.
Solucionar el problema es definitivamente un paso en la dirección correcta. Desafortunadamente, la información filtrada obtenida mediante este método todavía está disponible. Y si alguien se pregunta qué hacer con esta información, el hacker “emo” explicó en su publicación del foro por qué la filtración de Trello es útil para los malos actores.
“Esta base de datos es muy útil para doxing”, escribió emo, quien explicó que simplemente se puede hacer coincidir una dirección de correo electrónico con el nombre completo o alias adjunto a una cuenta de Trello utilizando la información robada.
Los usuarios de Trello deben ser conscientes de que esta información confidencial está disponible.
