Un actor de amenazas filtró más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que fueron recopiladas utilizando una API insegura en enero.
Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarlo para organizar datos y tareas en tablas, tarjetas y listas.
En enero, BleepingComputer informó que un actor malicioso conocido como “emo” estaba vendiendo los perfiles de 15.115.516 miembros de Trello en un popular foro de piratería.
Aunque casi todos los datos de estos perfiles eran información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada con la cuenta.
Aunque el propietario de Trello, Atlassian, no confirmó en ese momento cómo se robaron los datos, emo le dijo a BleepingComputer que se recopilaron mediante una API REST insegura que permitía a los desarrolladores solicitar información pública sobre un perfil según el ID de Trello, el nombre de usuario o la dirección de correo electrónico de los usuarios. .
emo creó una lista de 500 millones de direcciones de correo electrónico y la pasó a la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta devuelta para crear perfiles de miembros para más de 15 millones de usuarios.
Hoy, emo compartió la lista completa de 15.115.516 perfiles en el foro de piratería Breached por ocho créditos del sitio (por un valor de 2,32 dólares).
“Trello tenía un punto final API abierto que permite a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello”, explicó emo en la publicación del foro.
“Originalmente solo iba a llenar los puntos finales con correos electrónicos de bases de datos ‘com’ (OGU, RF, Breached, etc.), pero decidí seguir usando el correo electrónico hasta que me aburriera. »
Los datos filtrados incluyen direcciones de correo electrónico e información pública de la cuenta Trello, incluido el nombre completo del usuario.
Esta información se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. Emo también dice que los datos se pueden utilizar para doxxing, permitiendo a los actores de amenazas vincular direcciones de correo electrónico a personas y sus alias.
Atlassian confirmó hoy a BleepingComputer que la información se recopiló a través de una API REST segura de Trello en enero.
“Al utilizar la API REST de Trello, los usuarios de Trello podían invitar a miembros o invitados a unirse a sus foros públicos por correo electrónico. Sin embargo, dado el uso indebido de la API descubierto durante esta investigación de enero de 2024, hemos realizado un cambio para que los usuarios/servicios no autenticados no puedan solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información disponible públicamente sobre el perfil de otro usuario utilizando esta API. Este cambio logra un equilibrio entre prevenir el uso indebido de API y mantener la funcionalidad de “invitar a un foro público por correo electrónico” para nuestros usuarios. Continuaremos monitoreando el uso de API y tomaremos las medidas necesarias. »
❖ Atlassiano
Las API inseguras se han convertido en un objetivo popular para los malos actores, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.
En 2021, los delincuentes abusaron de una API para vincular números de teléfono a cuentas de Facebook, creando perfiles para 533 millones de usuarios.
En 2022, Twitter sufrió una infracción similar cuando actores malintencionados abusaron de una API insegura para vincular números de teléfono y direcciones de correo electrónico a millones de usuarios.
Dado que muchas personas publican de forma anónima en las redes sociales, estos datos ayudaron a desenmascarar a estas personas, lo que representa un riesgo significativo para la privacidad.
Más recientemente, se utilizó una API Twilio insegura para confirmar los números de teléfono de 33 millones de usuarios de la aplicación de autenticación multifactor Authy.
Muchas organizaciones intentan proteger las API mediante limitación de velocidad en lugar de autenticación mediante una clave API.
Sin embargo, los malos actores simplemente compran cientos de servidores proxy y activan conexiones para consultar constantemente la API, lo que hace que la limitación de velocidad sea inútil.
