API Trello использовался для привязки адресов электронной почты к 15 миллионам учетных записей
API Trello использовался для привязки адресов электронной почты к 15 миллионам учетных записей. Фото: СС0
Trello — это онлайн-инструмент управления проектами, принадлежащий Atlassian, который обычно используется предприятиями для организации данных и задач на досках, карточках и списках.
Новость об утечке данных Trello появилась на прошлой неделе, когда человек, использовавший псевдоним Эмо, попытался продать данные 15 115 516 участников Trello на популярном хакерском форуме.
Все данные в этих профилях являются общедоступными, кроме адресов электронной почты, связанных с учетными данными и это вызвало тревогу специалистов.
В компании заявили, что массив данных был собран не в результате несанкционированного доступа к системам Trello, а путем «очистки» общедоступной информации.
Из сообщения компании:
«Все доказательства указывают на то, что злоумышленник проверяет уже существующий список адресов электронной почты на соответствие общедоступным профилям пользователей Trello. Мы проводим тщательное расследование и не обнаружили никаких доказательств несанкционированного доступа к Trello или профилям пользователей.»
Основной вопрос заключается в том, как злоумышленнику удалось подтвердить адреса электронной почты.
Сообщается, что продавец данных использовал для этой цели общедоступный API Trello.
Trello предлагает REST API, который позволяет разработчикам интегрировать сервис в свои приложения. Одна из конечных точек API позволяет разработчикам запрашивать общедоступную информацию о профиле на основе идентификатора Trello или имени пользователя.
Также можно запросить конечную точку API, используя адрес электронной почты, и, если есть связанная учетная запись, получить информацию об общедоступном профиле.
В компании заявили, что после инцидента API был усовершенствован и теперь требует аутентификации. Однако у хакеров остается лазейка - API по-прежнему доступен любому, кто создаст бесплатную учетную запись.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме