Trello es una popular herramienta de gestión de proyectos conocida por su formato de lista estilo Kanban.
El martes, se compartieron datos privados asociados con 15.115.516 perfiles de usuarios de Trello en un popular foro de hackers, como señaló por primera vez el sitio de noticias sobre ciberseguridad. Computadora haciendo sonidoParece que un pirata informático descubrió una vulnerabilidad en el sistema Trello y pudo extraer datos privados confidenciales de los usuarios.
Si bien la mayoría de los datos asociados con una cuenta de Trello son información pública, no todos lo son. La parte más preocupante de la infracción para los usuarios de Trello son los datos de la dirección de correo electrónico.
Más de 15 millones de usuarios de Trello ahora pueden tener direcciones de correo electrónico privadas asociadas con sus perfiles de Trello que están disponibles públicamente.
Ofertas de Prime Day que puedes comprar ahora
Nuestro equipo de marketing selecciona los productos disponibles para comprar aquí a través de enlaces de afiliados. Si compra algo a través de los enlaces de nuestro sitio, Mashable puede ganar una comisión de afiliado.
¿Cómo pasó esto?
La violación de datos de Trello y la posterior filtración se remontan a principios de este año. Fueron notados por primera vez en enero. El hacker, que usa el nombre “Imo”, estaba vendiendo datos de Trello en un foro de piratería antes de brindar mayor acceso a ellos esta semana.
Velocidad de la luz medible
Desde entonces, tanto Atlassian, la empresa matriz de Trello, como “emo” (el hacker), han compartido más información sobre cómo ocurrió la filtración.
Según una publicación en el foro escrita por el hacker, descubrió que “Trello tiene un punto final API abierto que permite a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello”. En correspondencia con Bleeping Computer, el hacker explicó que una vez que descubrió la falla, compiló una lista de cientos de millones de direcciones de correo electrónico y las comparó con cuentas de Trello en la API. A partir de ahí, emo pudo vincular estas direcciones de correo electrónico a cuentas de Trello y crear un perfil de usuario para más de 15 millones de cuentas.
Atlassiano Cierto Bleeping Computer emitió un comunicado diciendo que la API REST de Trello estaba destinada a permitir a los usuarios de Trello invitar a foros públicos por correo electrónico. La compañía ha actualizado la API de Trello para mantener esta función y evitar que los malos actores la utilicen indebidamente.
“Debido al abuso de la API descubierto en una investigación de enero de 2024, le hicimos un cambio para que los usuarios/servicios no autenticados no puedan solicitar la información pública de otro usuario por correo electrónico”, dijo Atlassian en su comunicado. “Los usuarios autenticados aún pueden solicitar información disponible públicamente en el perfil de otro usuario usando esta API. Este cambio logra un equilibrio entre evitar el abuso de la API y al mismo tiempo mantener la función 'invitar a un foro público por correo electrónico' funcionando para nuestros usuarios. Continuaremos monitoreando la API. uso y tomar las medidas necesarias.
Solucionar el problema es definitivamente un paso en la dirección correcta. Pero, lamentablemente, los datos filtrados obtenidos mediante este método todavía existen. Y si uno se pregunta qué se puede hacer específicamente con estos datos, el hacker 'emo' compartió exactamente por qué la filtración de Trello sería beneficiosa para los delincuentes en su publicación en el foro.
“Esta base de datos es muy útil para la extracción de datos personales”, escribió emo, quien explicó que la dirección de correo electrónico podría simplemente compararse con el nombre completo o alias asociado con la cuenta de Trello utilizando los datos robados.
Los usuarios de Trello deben ser conscientes de que estos datos confidenciales están disponibles.