Un actor de amenazas ha puesto en riesgo a unos 15 millones de personas al lograr vincular sus direcciones de correo electrónico privadas con datos públicos de sus cuentas de Trello.
Un hacker con el alias «emo» acudió recientemente a un popular foro de piratería, donde ofrecieron a la venta una base de datos de más de 15 millones de miembros de Trello.
«Contiene correos electrónicos, nombres de usuario, nombres completos y otra información de la cuenta. 15.115.516 líneas únicas». pitidocomputadora citó el anuncio. «Vendo una copia a quien la quiera, envíame un mensaje en el sitio o por Telegram si estás interesado».
Abusar de las API
Trello ahora hizo una declaración, diciendo que sus sistemas no fueron violados y que la información en la base de datos era pública y eliminada.
«Toda la evidencia apunta a que un actor de amenazas probó una lista preexistente de direcciones de correo electrónico con perfiles de usuario de Trello disponibles públicamente», dijo el propietario de Trello, Atlassian, en un comunicado.
«Estamos llevando a cabo una investigación exhaustiva y no hemos encontrado ninguna evidencia de acceso no autorizado a Trello o a los perfiles de usuario.
Sin embargo, esto podría no ser del todo correcto. Emo dijo a los medios que utilizaron una API expuesta públicamente para vincular direcciones de correo electrónico a perfiles públicos de Trello.
La API fue diseñada para permitir a los desarrolladores consultar información pública en el perfil de las personas, basándose en los ID y nombres de usuario de Trello, pero emo descubrió que los correos electrónicos también se pueden consultar de esta manera, asociando efectivamente la información del perfil público a una dirección de correo electrónico que, de otro modo, permanecería. oculto. La API era de acceso público, añadió el hacker. Ahora requiere que los usuarios inicien sesión, pero una cuenta gratuita será suficiente.
El problema aquí es que los piratas informáticos ahora pueden saber qué dirección de correo electrónico se utilizó para crear una cuenta de Trello, información de la que se puede abusar de forma específica y altamente sofisticada. suplantación de identidad ataques. Saber que Trello es un tablero de gestión de proyectos utilizado principalmente por profesionales sólo lo hace más peligroso.