A Trello az Atlassian tulajdonában lévő online projektmenedzsment eszköz, amelyet a vállalkozások használnak adatok és feladatok táblákba, kártyákba és listákba történő szervezésére.
A Trello adatszivárgásának híre akkor kezdődött, amikor egy “emo” nevű felhasználó 15115516 Trello tag adatait próbálta meg eladni egy népszerű hackerfórumon.
“E-mail címeket, felhasználóneveket, teljes neveket és egyéb fiókinformációkat tartalmaz. 15115516 egyedi sor” – áll a hackerfórumon közzétett bejegyzésben.
Míg a profilok szinte minden adata nyilvános, a profilokhoz tartozó e-mail címek nem.
A Trello egy REST API-t kínál, amely lehetővé teszi a fejlesztők számára, hogy a szolgáltatást integrálják az alkalmazásaikba. Az API egyik végpontja lehetővé teszi a fejlesztők számára, hogy a felhasználók Trello azonosítója vagy felhasználóneve alapján lekérdezzenek nyilvános információkat egy profilról. Ezt az API végpontot e-mail cím használatával is le lehet kérdezni, és ha van kapcsolódó fiók, akkor lekérdezhetők a nyilvános profilinformációk. Az API nyilvánosan elérhető, azaz lekérdezhető anélkül, hogy be kellene jelentkezni egy Trello fiókba vagy API hitelesítési kulcsot kellene használni.
A kártékony aktor 500 millió e-mail címről készített egy listát, és betáplálta őket az API-ba, hogy megállapítsa, társul-e hozzájuk Trello fiók. A Trello API-ja IP címenként korlátozott sebességű, ezért proxy kiszolgálókat vásároltak a kapcsolatok rotálásához, hogy folyamatosan lekérdezzék az API-t.
Az API azóta hitelesítést igényel, de továbbra is elérhető bárki számára, aki létrehoz egy ingyenes fiókot.
Míg a nyilvános adatok lekérdezése általában nem jelent gondot, a Trello fiókokhoz kapcsolódó e-mail címeket csak a fiók tulajdonosa ismerheti. Ezért a privát adatok, például egy e-mail, összekapcsolása a nyilvános profillal megnöveli a kiszivárgás súlyosságát.
Ezeket az információkat célzott adathalász kampányokban is fel lehet használni, amelyek a Trellót megszemélyesítve érzékenyebb adatokat, például jelszavakat lophatnak el.
A Trello szivárgása bekerült a Have I Been Pwned adatszivárgási értesítő szolgáltatásba, így bárki ellenőrizheti, hogy szerepel-e a kiszivárgott 15 millió e-mail cím között.
Hasonló eset történt 2021-ben, amikor kihasználtak egy Twitter API hibát, amely lehetővé tette a felhasználók számára, hogy e-mail címeket és telefonszámokat adjanak meg és megerősítsék, hogy azok egy Twitter azonosítóhoz kapcsolódnak. A támadók egy másik API-t használtak az adott ID-hez tartozó nyilvános adatok lekérdezésére, amelyeket végül összekombináltak a kapcsolódó privát e-mail címekkel és telefonszámokkal. A Twitter 2022 januárjában javította ezt a hibát, de addigra már több csoport végül több, mint 200 millió Twitter profil adatait szivárogtatta ki.
