Trello es una herramienta popular de gestión de proyectos conocida por su formato de lista en estilo kanban.
El martes, los datos privados conectados a 15,115,516 perfiles de usuario de Trello fueron compartidos en un foro popular para hackers, como primero lo notó el sitio web de noticias de ciberseguridad Bleeping Computer. Parece que un solo hacker descubrió una falla en el sistema de Trello y pudo extraer datos privados sensibles de los usuarios.
Aunque gran parte de los datos conectados a una cuenta de Trello son información pública, no todos lo son. La parte más preocupante de la brecha para los usuarios de Trello es, sin duda, la información de direcciones de correo electrónico.
Más de 15 millones de usuarios de Trello ahora tienen expuestas sus direcciones de correo electrónico privadas asociadas a sus perfiles de Trello a la vista pública.
¿Cómo sucedió esto?
La brecha de datos en Trello y la subsiguiente filtración se remontan a principios de este año. Bleeping Computer notó por primera vez en enero que el hacker, conocido como “emo,” estaba vendiendo los datos de Trello en el foro de hacking antes de proporcionar un mayor acceso a ellos esta semana.
Mashable Light Speed
Tanto la empresa matriz de Trello, Atlassian, como “emo” (el hacker), han compartido más información sobre cómo se produjo esta filtración.
Según una publicación en el foro del hacker, descubrieron que “Trello tenía un punto final de API abierto que permite a cualquier usuario no autenticado mapear una dirección de correo electrónico a una cuenta de Trello.” En una correspondencia con Bleeping Computer, el hacker explicó más adelante que una vez que descubrieron la falla, crearon una lista de cientos de millones de direcciones de correo electrónico y las compararon con las cuentas de Trello en la API. A partir de ahí, “emo” pudo vincular esas direcciones de correo electrónico con cuentas de Trello y crear un perfil de usuario para más de 15 millones de cuentas.
Atlassian confirmó el problema a Bleeping Computer en un comunicado, diciendo que la API REST de Trello estaba destinada a permitir a los usuarios de Trello invitar a invitados a tableros públicos a través de correo electrónico. La compañía ha actualizado la API de Trello para conservar esta función mientras evita su uso indebido por actores malintencionados.
“Dada la utilización indebida de la API descubierta en esta investigación de enero de 2024, hicimos un cambio para que los usuarios/servicios no autenticados no puedan solicitar la información pública de otro usuario por correo electrónico”, dijo Atlassian en su comunicado. “Los usuarios autenticados aún pueden solicitar información que esté disponible públicamente en el perfil de otro usuario utilizando esta API. Este cambio logra un equilibrio entre prevenir el uso indebido de la API y mantener la función de ‘invitar a un tablero público por correo electrónico’ funcionando para nuestros usuarios. Continuaremos monitoreando el uso de la API y tomaremos las acciones necesarias.”
Arreglar el problema es sin duda un paso en la dirección correcta. Lamentablemente, los datos filtrados obtenidos a través de este método todavía están ahí. Y si alguien se pregunta exactamente qué se puede hacer con estos datos, “emo” el hacker explicó exactamente por qué la filtración de Trello es útil para actores malintencionados en su publicación en el foro.
“Esta base de datos es muy útil para hacer doxing,” escribió emo, quien explicó que simplemente se puede hacer coincidir la dirección de correo electrónico con un nombre completo o alias adjunto a una cuenta de Trello utilizando los datos robados.
Los usuarios de Trello deben ser conscientes de que estos datos sensibles están ahí afuera.
Fuente y créditos: mashable.com
Cats: Tech