E-mails expostos! API pública do Trello vaza dados para 15 milhões de usuários!
Na semana passada, ocorreu uma falha de segurança no Trello, ferramenta de gerenciamento de projetos desenvolvida pela Atlassian, que resultou na exposição de dados confidenciais pertencentes a mais de 15 milhões de usuários na internet.
A empresa revelou que os dados não foram obtidos por meios ilegais dos sistemas do Trello, mas originaram-se de uma compilação existente de detalhes de contato associados a contas de usuários no Trello, que eram acessíveis ao público em geral.
Na verdade, mais informações surgiram através de nossa interação com o indivíduo que adquiriu os dados diretamente, sugerindo que, em vez de simplesmente coletar informações on-line disponíveis, uma interface de programação de aplicativos (API) acessível foi utilizada para correlacionar endereços de e-mail com perfis de contas públicas do Trello.
A interface de programação de aplicativos (API) RESTful do Trello permite que os desenvolvedores incorporem perfeitamente os serviços da renomada plataforma de gerenciamento de projetos em seus próprios aplicativos. Ao utilizar esta API, os usuários podem obter dados de perfil público associados a um ID ou nome de usuário específico do Trello. Além disso, a API suporta consultas com base em endereços de e-mail, retornando perfis de usuário relevantes quando existe uma conta Trello correspondente vinculada ao e-mail fornecido. Além disso, como a API é acessível a todos, qualquer indivíduo, independentemente de possuir ou não uma conta Trello, pode acessar e interagir com a API sem exigir qualquer forma de autenticação ou chave de API.
Para superar as restrições impostas pela API do Trello quanto ao número de solicitações que podem ser feitas a partir de um único endereço IP, o indivíduo em questão adquiriu um servidor proxy que possibilitou a rotação contínua de conexões. Isso permitiu o envio de aproximadamente 500 milhões de endereços de e-mail à função API para identificação se cada um estava ou não associado a uma conta ativa do Trello.
O conjunto de dados utilizado para o projeto de pesquisa era anteriormente acessível ao público em geral, mas é fundamental ressaltar que apenas os endereços de e-mail associados às contas de usuários do Trello eram conhecidos por quem os possuía. Esta mistura de dados públicos e privados amplifica o perigo representado pelas violações de segurança, uma vez que partes não autorizadas podem empregar táticas de phishing para obter informações mais confidenciais, incluindo credenciais de login.
Após uma ocorrência recente, foram feitas melhorias na API para exigir autenticação para uso. No entanto, atualmente, é possível aproveitar seus benefícios simplesmente criando uma conta gratuita. Além disso, aproximadamente 15 milhões de endereços de e-mail comprometidos durante este evento foram incorporados ao I Been Pwned, um serviço online gerenciado pelo especialista em segurança cibernética Troy Hunt.
*️⃣ Link da fonte: