Un acteur malveillant a publié plus de 15 millions d’adresses e-mail associées à des comptes Trello qui ont été collectées à l’aide d’une API non sécurisée en janvier.
Trello est un outil de gestion de projet en ligne appartenant à Atlassian. Les entreprises l’utilisent couramment pour organiser les données et les tâches en tableaux, cartes et listes.
En janvier, Breachtrace a rapporté qu’un acteur de la menace connu sous le nom de » emo » vendait des profils pour 15 115 516 membres de Trello sur un forum de piratage populaire.
Bien que la quasi-totalité des données de ces profils soient des informations publiques, chaque profil contenait également une adresse e-mail non publique associée au compte.
Alors qu’Atlassian, le propriétaire de Trello, n’a pas confirmé à l’époque comment les données avaient été volées, emo a déclaré à Breachtrace qu’elles avaient été collectées à l’aide d’une API REST non sécurisée qui permettait aux développeurs de demander des informations publiques sur un profil en fonction de l’identifiant Trello, du nom d’utilisateur ou de l’adresse e-mail des utilisateurs.
emo a créé une liste de 500 millions d’adresses e-mail et l’a introduite dans l’API pour déterminer si elles étaient liées à un compte Trello. La liste a ensuite été combinée avec les informations de compte renvoyées pour créer des profils de membres pour plus de 15 millions d’utilisateurs.
Aujourd’hui, emo a partagé la liste complète des profils 15,115,516 sur le forum de piratage piraté pour huit crédits de site (d’une valeur de 2.32$).
« Trello avait un point de terminaison d’API ouvert qui permet à tout utilisateur non authentifié de mapper une adresse e-mail à un compte trello », a expliqué emo dans le message du forum.
« À l’origine, j’allais uniquement alimenter les e-mails de point de terminaison à partir de » com » (OGU, RF, Piraté, etc.) bases de données mais j’ai juste décidé de continuer avec les courriels jusqu’à ce que je m’ennuie. »
Les données divulguées incluent des adresses e-mail et des informations publiques sur le compte Trello, y compris le nom complet de l’utilisateur.
Ces informations peuvent être utilisées dans des attaques de phishing ciblées pour voler des informations plus sensibles, telles que des mots de passe. emo dit également que les données peuvent être utilisées pour le doxxing, permettant aux acteurs de la menace de lier les adresses e-mail aux personnes et à leurs alias.
Atlassian a confirmé à Breachtrace aujourd’hui que les informations avaient été collectées via une API REST Trello sécurisée en janvier.
« Activé par l’API REST Trello, les utilisateurs de Trello ont été autorisés à inviter des membres ou des invités sur leurs forums publics par adresse e-mail. Cependant, étant donné l’utilisation abusive de l’API découverte lors de cette enquête de janvier 2024, nous y avons apporté une modification afin que les utilisateurs/services non authentifiés ne puissent pas demander les informations publiques d’un autre utilisateur par e-mail. Les utilisateurs authentifiés peuvent toujours demander des informations publiquement disponibles sur le profil d’un autre utilisateur à l’aide de cette API. Ce changement établit un équilibre entre la prévention de l’utilisation abusive de l’API et le maintien de la fonctionnalité « inviter à un forum public par e-mail » pour nos utilisateurs. Nous continuerons à surveiller l’utilisation de l’API et à prendre toutes les mesures nécessaires. »
❖ Atlassien
Les API non sécurisées sont devenues une cible populaire pour les acteurs de la menace, qui en abusent pour combiner des informations non publiques, telles que des adresses e-mail et des numéros de téléphone, avec des profils publics.
En 2021, des acteurs de la menace ont abusé d’une API pour lier des numéros de téléphone à des comptes Facebook, créant des profils pour 533 millions d’utilisateurs.
En 2022, Twitter a subi une violation similaire lorsque des acteurs malveillants ont abusé d’une API non sécurisée pour lier des numéros de téléphone et des adresses e-mail à des millions d’utilisateurs.
Comme de nombreuses personnes publient anonymement sur les réseaux sociaux, ces données ont permis de démasquer ces personnes, ce qui pose un risque important pour la vie privée.
Plus récemment, une API Twilio non sécurisée a été utilisée pour confirmer les numéros de téléphone de 33 millions d’utilisateurs d’applications d’authentification multifacteur Authy.
De nombreuses organisations tentent de sécuriser les API en limitant le débit plutôt qu’en s’authentifiant via une clé d’API.
Cependant, les auteurs de menaces achètent simplement des centaines de serveurs proxy et font pivoter les connexions pour interroger constamment l’API, ce qui rend la limitation du débit inutile.