Μια απροστάτευτη Trello API επιτρέπει τη σύνδεση ιδιωτικών διευθύνσεων email σε λογαριασμούς Trello, επιτρέποντας τη δημιουργία εκατομμυρίων προφίλ δεδομένων που περιέχουν τόσο δημόσιες όσο και ιδιωτικές πληροφορίες.

Δείτε επίσης: Πώς να διατηρήσετε τα email σας κρυπτογραφημένα στο Gmail

Το Trello είναι ένα εργαλείο διαχείρισης έργων στο διαδίκτυο που ανήκει στην Atlassian και χρησιμοποιείται συχνά από επιχειρήσεις για την οργάνωση δεδομένων και εργασιών σε πίνακες, κάρτες και λίστες.

Μια από τις πιο συνηθισμένες προκλήσεις είναι η κατανόηση της δομής του Trello API. Αυτό γιατί το Trello API χρησιμοποιεί μια σύνθετη δομή δεδομένων, η οποία μπορεί να είναι δύσκολο να κατανοηθεί από τους αναπτυξιακούς προγραμματιστές που δεν έχουν προηγούμενη εμπειρία με το Trello.

Επιπλέον, η χρήση των μεθόδων HTTP μπορεί να είναι μια άλλη πρόκληση. Το Trello API χρησιμοποιεί τις μεθόδους GET, POST, PUT, DELETE και άλλες, οι οποίες πρέπει να χρησιμοποιηθούν σωστά για να επιτευχθεί η επιθυμητή λειτουργία. Επίσης, η διαχείριση των πιστοποιητικών OAuth μπορεί να είναι μια πρόκληση. Το Trello API χρησιμοποιεί το πρωτόκολλο OAuth για την ασφάλεια, το οποίο απαιτεί την κατάλληλη διαχείριση των πιστοποιητικών για να επιτρέψει την πρόσβαση στα δεδομένα του χρήστη.

Την προηγούμενη εβδομάδα έγινε γνωστή η διαρροή δεδομένων του Trello, όταν ένα άτομο με το ψευδώνυμο ‘emo‘ προσπάθησε να πουλήσει τα δεδομένα των 15.115.516 μελών του Trello σε ένα δημοφιλές φόρουμ χάκερ.

Το μήνυμα στο φόρουμ για χάκερ δηλώνει: “Περιέχει ηλεκτρονικά μηνύματα, ονόματα χρηστών, πλήρη ονόματα και άλλες πληροφορίες λογαριασμών. Υπάρχουν 15.115.516 μοναδικές γραμμές.

Πωλείται ένα αντίγραφο σε όποιον ενδιαφέρεται. Μπορείτε να μου στείλετε μήνυμα είτε στον ιστότοπο είτε στο Telegram, αν ενδιαφέρεστε.

Παρόλο που σχεδόν όλα τα δεδομένα σε αυτά τα προφίλ είναι δημόσια, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που συσχετίζονται με τα προφίλ δεν είναι.

Δείτε ακόμα: Έρευνα της VIPRE για spam και phishing emails

Όλα τα στοιχεία δείχνουν ότι ένας απειλητικός παράγοντας δοκιμάζει μια υπάρχουσα λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου έναντι δημόσια διαθέσιμων προφίλ χρηστών του Trello

,” ανέφερε η Atlassian, ιδιοκτήτρια του Trello, στο BleepingComputer την προηγούμενη εβδομάδα.

Έχουμε διεξάγει μια εξαντλητική έρευνα και δεν έχουμε βρει κανένα αποδεικτικό στοιχείο για μη εξουσιοδοτημένη πρόσβαση στο Trello ή στα προφίλ των χρηστών.

Ωστόσο, φαίνεται ότι υπήρχε περισσότερο υπόβαθρο για τον τρόπο με τον οποίο ο δράστης απεδείχθη σε θέση να επιβεβαιώσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου.

Το Trello παρέχει μια REST API που επιτρέπει στους προγραμματιστές να ενσωματώσουν την υπηρεσία στις εφαρμογές τους. Ένα από τα σημεία πρόσβασης της API επιτρέπει στους προγραμματιστές να αναζητούν δημόσιες πληροφορίες για ένα προφίλ με βάση το Trello ID ή το όνομα χρήστη των χρηστών.

Ωστόσο, ο emo ανακάλυψε ότι μπορείς επίσης να αναζητήσεις αυτό το API endpoint χρησιμοποιώντας μια διεύθυνση email και αν υπάρχει ένας σχετικός λογαριασμός, να ανακτήσεις τις πληροφορίες του δημόσιου προφίλ τους. Επιπλέον, ο Emo ανέφερε ότι η API ήταν προσβάσιμη δημόσια, πράγμα που σημαίνει ότι μπορούσε να γίνει αναζήτηση χωρίς να συνδεθεί κάποιος σε λογαριασμό Trello ή να χρησιμοποιήσει κλειδί πιστοποίησης της API.

Ο δράστης απειλής στη συνέχεια δημιούργησε μια λίστα με 500 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και τις χρησιμοποίησε στο API για να προσδιορίσει εάν σχετίζονταν με έναν λογαριασμό Trello.

Δείτε επίσης: Gmail Android: Υποστήριξη για αντιδράσεις emoji σε emails

Για όσους ενδιαφέρονται, η διαρροή του Trello έχει προστεθεί στην υπηρεσία ειδοποίησης παραβίασης δεδομένων Have I Been Pwned, επιτρέποντας σε οποιονδήποτε να ελέγξει αν ανήκει στις 15 εκατομμύρια διαρρεύσεις διευθύνσεων ηλεκτρονικού ταχυδρομείου.

Πηγή: bleepingcomputer