API Trello использовался для привязки адресов электронной почты к 15 миллионам учетных записей

Открытый API Trello позволяет связывать частные адреса электронной почты с учетными записями Trello, позволяя создавать миллионы профилей данных, содержащих как общедоступную, так и личную информацию.

API Trello использовался для привязки адресов электронной почты к 15 миллионам учетных записей. Фото: СС0

Trello — это онлайн-инструмент управления проектами, принадлежащий Atlassian, который обычно используется предприятиями для организации данных и задач на досках, карточках и списках.

Новость об утечке данных Trello появилась на прошлой неделе, когда человек, использовавший псевдоним Эмо, попытался продать данные 15 115 516 участников Trello на популярном хакерском форуме.

Все данные в этих профилях являются общедоступными, кроме адресов электронной почты, связанных с учетными данными и это вызвало тревогу специалистов.

В компании заявили, что массив данных был собран не в результате несанкционированного доступа к системам Trello, а путем «очистки» общедоступной информации.

Из сообщения компании:

«Все доказательства указывают на то, что злоумышленник проверяет уже существующий список адресов электронной почты на соответствие общедоступным профилям пользователей Trello. Мы проводим тщательное расследование и не обнаружили никаких доказательств несанкционированного доступа к Trello или профилям пользователей.»

Основной вопрос заключается в том, как злоумышленнику удалось подтвердить адреса электронной почты.

Сообщается, что продавец данных использовал для этой цели общедоступный API Trello.

Trello предлагает REST API, который позволяет разработчикам интегрировать сервис в свои приложения. Одна из конечных точек API позволяет разработчикам запрашивать общедоступную информацию о профиле на основе идентификатора Trello или имени пользователя.

Также можно запросить конечную точку API, используя адрес электронной почты, и, если есть связанная учетная запись, получить информацию об общедоступном профиле.

В компании заявили, что после инцидента API был усовершенствован и теперь требует аутентификации. Однако у хакеров остается лазейка - API по-прежнему доступен любому, кто создаст бесплатную учетную запись.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме