Une API Trello exposée permet de lier des adresses e-mail privées à des comptes Trello, permettant la création de millions de profils de données contenant à la fois des informations publiques et privées.

Trello est un outil de gestion de projet en ligne appartenant à Atlassian qui est couramment utilisé par les entreprises pour organiser les données et les tâches en tableaux, cartes et listes.

La nouvelle de la fuite de données Trello est arrivée la semaine dernière lorsqu’une personne utilisant l’alias  » emo  » a tenté de vendre les données de 15 115 516 membres de Trello sur un forum de piratage populaire.

« Contient des courriels, des noms d’utilisateur, des noms complets et d’autres informations de compte. 15 115 516 lignes uniques », peut-on lire sur le forum de piratage.

« Vendre un exemplaire à qui le veut, envoyez-moi un message sur place ou sur telegram si vous êtes intéressé. »

Message de Trello sur le forum de piratage

Bien que la quasi-totalité des données de ces profils soient publiques, les adresses électroniques associées aux profils ne le sont pas.

Lorsque Breachtrace a contacté Trello au sujet de la fuite de données la semaine dernière, on nous a dit qu’elle n’avait pas été collectée par un accès non autorisé aux systèmes de Trello, mais en récupérant des données publiques.

« Toutes les preuves indiquent qu’un acteur de la menace teste une liste préexistante d’adresses e-mail par rapport aux profils d’utilisateurs Trello accessibles au public », Atlassian, le propriétaire de Trello, a déclaré à Breachtrace la semaine dernière.

« Nous menons une enquête exhaustive et n’avons trouvé aucune preuve d’accès non autorisé à Trello ou à des profils d’utilisateurs.

Cependant, il semble qu’il y ait eu plus dans l’histoire sur la façon dont l’auteur de la menace a pu confirmer les adresses e-mail.

Abuser d’une API exposée
Lors d’une conversation avec emo, Breachtrace a appris qu’une API exposée publiquement était utilisée pour associer des adresses e-mail à des profils Trello publics.

Trello propose une API REST qui permet aux développeurs d’intégrer le service dans leurs applications. L’un des points de terminaison de l’API permet aux développeurs d’interroger des informations publiques sur un profil en fonction de l’identifiant ou du nom d’utilisateur Trello des utilisateurs.

Cependant, emo a découvert que vous pouvez également interroger ce point de terminaison d’API à l’aide d’une adresse e-mail et, s’il existe un compte associé, récupérer les informations de son profil public.

Emo a en outre déclaré que l’API était accessible au public, ce qui signifie qu’elle pouvait être interrogée sans se connecter à un compte Trello ni utiliser une clé d’authentification API.

L’auteur de la menace a ensuite créé une liste de 500 millions d’adresses e-mail et les a introduites dans l’API pour déterminer si elles étaient associées à un compte Trello.

Alors que Breachtrace a appris que l’API de Trello était limitée en débit par adresse IP, l’auteur de la menace a déclaré avoir acheté des serveurs proxy pour faire pivoter les connexions afin de continuer à interroger l’API en permanence.

L’API a depuis été renforcée pour exiger une authentification, mais est toujours disponible pour toute personne qui crée un compte gratuit.

Breachtrace a contacté Trello pour savoir s’ils sécuriseraient davantage l’API pour éviter les abus, et ils ont partagé la déclaration suivante:

« Activé par l’API REST Trello, les utilisateurs de Trello ont été autorisés à inviter des membres ou des invités sur leurs forums publics par adresse e-mail. Cependant, étant donné l’utilisation abusive de l’API découverte lors de cette enquête, nous l’avons modifiée afin que les utilisateurs/services non authentifiés ne puissent pas demander les informations publiques d’un autre utilisateur par e-mail. Les utilisateurs authentifiés peuvent toujours demander des informations publiquement disponibles sur le profil d’un autre utilisateur à l’aide de cette API. Ce changement établit un équilibre entre la prévention de l’utilisation abusive de l’API et le maintien de la fonctionnalité « inviter à un forum public par e-mail » pour nos utilisateurs. Nous continuerons à surveiller l’utilisation de l’API et à prendre toutes les mesures nécessaires. »

Bien que le grattage des données publiques ne soit généralement pas un problème, car les données étaient déjà publiques, les adresses e-mail associées aux comptes Trello étaient uniquement destinées à être connues du titulaire du compte.

Par conséquent, lier des données privées, telles qu’un e-mail, au profil public augmente la gravité de la fuite.

De plus, ces informations pourraient être utilisées dans des campagnes de phishing ciblées usurpant l’identité de Trello pour voler des informations plus sensibles, telles que des mots de passe.

Pour les personnes concernées, la fuite Trello a été ajoutée au service de notification de violation de données Have I Been Pwned, permettant à quiconque de vérifier s’il fait partie des 15 millions d’adresses e-mail divulguées.

Une fuite similaire s’est produite en 2021 lorsque des acteurs de la menace ont exploité un bogue de l’API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numéros de téléphone et de confirmer s’ils étaient associés à un identifiant Twitter.

Les auteurs de la menace ont utilisé une autre API pour récupérer les données publiques de Twitter pour l’identifiant, en combinant les données publiques avec les adresses e-mail privées associées et les numéros de téléphone des utilisateurs de Twitter.

Twitter a corrigé cette faille en janvier 2022, mais à ce moment-là, il était trop tard, plusieurs acteurs de la menace ayant finalement divulgué les données de plus de 200 millions de profils Twitter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *