Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian que las empresas suelen utilizar para organizar datos y tareas en tableros, tarjetas y listas.
La noticia de la filtración de datos de Trello llegó la semana pasada cuando una persona que usaba el alias ‘emo’ intentó vender los datos de 15.115.516 miembros de Trello en un popular foro clandestino.
«Contiene correos electrónicos, nombres de usuario, nombres completos y otra información de la cuenta. 15.115.516 líneas únicas», se lee en la publicación.
«Vendo una copia a quien la quiera, envíame un mensaje en el sitio o por Telegram si estás interesado».
Si bien casi todos los datos de estos perfiles son públicos, las direcciones de correo electrónico asociadas con los perfiles no lo son.
BleepingComputer, fuente que divulgó la noticia, se puso en contacto con Trello sobre la filtración de datos la semana pasada, a quienes les afirmaron que no se recopilaron mediante un acceso no autorizado a los sistemas de Trello sino mediante la extracción de datos públicos.
«Toda la evidencia apunta a que un actor de amenazas probó una lista preexistente de direcciones de correo electrónico con perfiles de usuario de Trello disponibles públicamente», dijo Atlassian, el propietario de Trello.
«Estamos llevando a cabo una investigación exhaustiva y no hemos encontrado ninguna evidencia de acceso no autorizado a Trello o a los perfiles de usuario.
Sin embargo, parece que había más en la historia sobre cómo el actor de amenazas pudo confirmar las direcciones de correo electrónico.
Trello ofrece una API REST que permite a los desarrolladores integrar el servicio en sus aplicaciones. Uno de los puntos finales de la API permite a los desarrolladores consultar información pública sobre un perfil según el ID de Trello o el nombre de usuario de los usuarios.
Sin embargo, emo descubrió que también puede consultar este punto final API utilizando una dirección de correo electrónico y, si hay una cuenta asociada, recuperar su información de perfil público.
Emo dijo además que la API era de acceso público, lo que significa que se podía consultar sin iniciar sesión en una cuenta de Trello o utilizar una clave de autenticación de API.
Luego, el actor de amenazas creó una lista de 500 millones de direcciones de correo electrónico y las introdujo en la API para determinar si estaban asociadas con una cuenta de Trello.
Si bien a BleepingComputer le dijeron que la API de Trello tiene una velocidad limitada por dirección IP, el actor de amenazas dijo que compraron servidores proxy para rotar las conexiones y seguir consultando la API constantemente.
Desde entonces, la API se ha reforzado para requerir autenticación, pero todavía está disponible para cualquiera que cree una cuenta gratuita.