Trello est un outil de gestion de projet populaire, bien connu pour son format de liste de style Kanban.
Mardi, les données privées liées à 15 115 516 profils d’utilisateurs Trello ont été partagées sur un forum populaire pour les pirates informatiques, comme l’a d’abord remarqué le site d’informations sur la cybersécurité Ordinateur bipantIl semble qu’un seul pirate informatique ait découvert une faille dans le système Trello et ait pu extraire des données privées sensibles des utilisateurs.
Bien qu’une grande partie des données liées à un compte Trello soient des informations publiques, elles ne le sont pas toutes. De loin, la partie la plus préoccupante de la violation pour les utilisateurs de Trello concerne les données d’adresse e-mail.
Plus de 15 millions d’utilisateurs de Trello ont désormais leurs adresses e-mail privées associées à leurs profils Trello exposées au public.
Comment cela est-il arrivé ?
La violation de données de Trello et la fuite qui a suivi remontent au début de cette année. Bleeping Computer remarqué pour la première fois en janvier que le pirate, sous le surnom de « emo », vendait les données Trello sur le forum de piratage avant d’en fournir un accès plus large cette semaine.
Vitesse de la lumière Mashable
La société mère de Trello, Atlassian, et « emo » (le pirate informatique) ont depuis partagé davantage d’informations sur la façon dont cette fuite s’est produite.
Selon un message posté sur un forum par le pirate, ils ont découvert que « Trello avait un point de terminaison API ouvert qui permet à tout utilisateur non authentifié de faire correspondre une adresse e-mail à un compte Trello ». Dans une correspondance avec Bleeping Computer, le pirate a en outre expliqué qu’une fois la faille découverte, ils ont rassemblé une liste de centaines de millions d’adresses e-mail et les ont recoupées avec les comptes Trello dans l’API. À partir de là, « emo » a pu relier ces adresses e-mail à des comptes Trello et créer un profil utilisateur pour plus de 15 millions de comptes.
Atlassien confirmé Le problème avec Bleeping Computer a été évoqué dans un communiqué, affirmant que l’API REST de Trello était destinée à permettre aux utilisateurs de Trello d’inviter des invités à des forums publics par courrier électronique. La société a mis à jour l’API Trello pour préserver cette fonctionnalité tout en empêchant son utilisation abusive par des acteurs malveillants.
« Compte tenu de l’utilisation abusive de l’API découverte lors de cette enquête de janvier 2024, nous avons apporté une modification à celle-ci afin que les utilisateurs/services non authentifiés ne puissent pas demander les informations publiques d’un autre utilisateur par courrier électronique », a déclaré Atlassian dans son communiqué. « Les utilisateurs authentifiés peuvent toujours demander des informations qui sont accessibles au public sur le profil d’un autre utilisateur à l’aide de cette API. Ce changement établit un équilibre entre la prévention de l’utilisation abusive de l’API tout en préservant le fonctionnement de la fonctionnalité « inviter à un forum public par courrier électronique » pour nos utilisateurs. Nous continuerons de surveiller l’utilisation de l’API et prendrons toutes les mesures nécessaires. »
La résolution du problème est certainement un pas dans la bonne direction. Malheureusement, les données divulguées qui ont été obtenues par cette méthode sont toujours là. Et si l’on se demande exactement ce qu’on peut faire avec ces données, “emo”, le pirate informatique, a expliqué exactement pourquoi la fuite de Trello est utile aux mauvais acteurs dans son message sur le forum.
« Cette base de données est très utile pour le doxing », a écrit emo, qui a expliqué qu’il est possible de faire simplement correspondre l’adresse e-mail à un nom complet ou à un alias associé à un compte Trello en utilisant les données volées.
Les utilisateurs de Trello doivent être conscients que ces données sensibles sont disponibles.
