Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarla para organizar datos y tareas en tableros, tarjetas y listas.
Un usuario ha publicado más de 15 millones de direcciones de correo electrónico asociadas a cuentas de Trello que se recopilaron mediante una API no segura en enero. En enero, BleepingComputer informó que un atacante conocido como ‘emo‘ estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de piratería. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada a la cuenta.
Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, pero el proopio ‘emo‘ le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil basado en el ID de Trello, el nombre de usuario o la dirección de correo electrónico de los usuarios.
‘emo’ creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta obtenida para crear perfiles de miembros para más de 15 millones de usuarios. Finalmente, emo compartió la lista completa de 15.115.516 perfiles en el foro de piratería Breached por ocho créditos del sitio (por un valor de $2,32).
«Trello tenía un punto final de API abierto que permitía a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello», explicó emo en la publicación del foro. Continuaba diciendo que «originalmente, solo iba a alimentar los correos electrónicos de los puntos finales desde bases de datos ‘com’ (OGU, RF, Breached, etc.), pero decidí seguir con los correos electrónicos hasta aburrirme».
Esta información (Correo y nombre completo de los usuarios) se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. ‘emo’ también dice que los datos se pueden usar para doxing, lo que permite a los atacantes vincular direcciones de correo electrónico a personas y sus alias.
Desde Atlassian indicaron que se había corregido el problema: «Gracias a la API REST de Trello, los usuarios pueden invitar a miembros o invitados a sus tableros públicos por correo electrónico. Sin embargo, dado el uso indebido de la API descubierto en esta investigación de enero de 2024, realizamos un cambio para que los usuarios o servicios no autenticados no puedan solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que está disponible públicamente en el perfil de otro usuario mediante esta API. Este cambio logra un equilibrio entre evitar el uso indebido de la API y mantener la función «invitar a un tablero público por correo electrónico» en funcionamiento para nuestros usuarios. Continuaremos monitoreando el uso de la API y tomaremos las medidas necesarias».
Las API no seguras se han convertido en un objetivo popular para los atacantes, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.
En 2021, se aprovecharon de una API para vincular números de teléfono a cuentas de Facebook , creando perfiles para 533 millones de usuarios.
En 2022, Twitter sufrió una vulneración similar cuando atacantes utilizaron de una API no segura para vincular números de teléfono y direcciones de correo electrónico a millones de usuarios.
Más recientemente, se utilizó una API de Twilio no segura para confirmar los números de teléfono de 33 millones de usuarios de la aplicación de autenticación multifactor Authy.