Un actor de amenazas ha publicado más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que se recopilaron mediante una API no segura en enero.
Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarlo para organizar datos y tareas en tableros, tarjetas y listas.
En enero, BleepingComputer informó que un actor de amenazas conocido como "emo" estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de hacking. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada con la cuenta.
Si bien Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, "emo" le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil según el ID de Trello y el nombre de usuario de los usuarios o la dirección de correo electrónico.
"emo" creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta devuelta para crear perfiles de miembros para más de 15 millones de usuarios.
Hoy, emo compartió la lista completa de 15.115.516 perfiles en el foro de hacking Breached por ocho créditos del sitio (por un valor de 2,32 dólares).
"Trello tenía un end-point API abierto que permite a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello", explicó "emo" en la publicación del foro. Los datos filtrados incluyen direcciones de correo electrónico e información pública de la cuenta Trello, incluido el nombre completo del usuario.
Esta información se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. emo también dice que los datos se pueden utilizar para doxxing, permitiendo a los actores de amenazas vincular direcciones de correo electrónico a personas y sus alias.
Atlassian confirmó que la información se recopiló a través de una API REST de Trello que se cerró en enero. "Dado el uso indebido de la API descubierto en esta investigación de enero de 2024, le hicimos un cambio para que personas no autenticadas Los usuarios/servicios no pueden solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que esté disponible públicamente en el perfil de otro usuario usando esta API.".
Las API no seguras se han convertido en un objetivo popular para los actores de amenazas, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.
Fuente: BC