Un pirata informático ha hecho públicos en el foro de piratería Breached los datos de millones de usuarios de la herramienta de gestión de proyectos y organización de equipos Trello, de Atlassian.
Los investigadores de Hackread aseguran que los datos compartidos incluyen detalles como ID de usuarios, nombres de usuarios, nombres completos, URL de perfiles y más de 15 millones de direcciones de email (en concreto 15.111.945 direcciones únicas)
Desde Bleeping Computer han podido constatar que, aunque la mayoría de la información de los perfiles ya era pública, las direcciones de correo estaban asociadas con las cuentas y no lo eran.
Este actor de amenazas utilizó en enero lo que dijo que era una API no segura para robar información personal de esta aplicación.
El hacker, conocido como 'emo', explicó que Trello tenía un punto final de API abierto con el que cualquier usuario puede asignar una cuenta de dirección de email a una cuenta de la herramienta.
“Solo iba a alimentar los correos electrónicos de los endpoints desde bases de datos 'com' (OGU, RF, Breached, etc.), pero decidí seguir con el correo electrónico hasta que me aburriera. Esta base de datos es muy útil para realizar doxing, para encontrar direcciones de email adjuntas que coincidan con los nombres completos y alias que coincidan con direcciones de correo electrónico personales”, señala el pirata.
Habla el hacker
Emo ha comentado a Bleeping Computer que los desarrolladores usaban la API REST no segura con el fin de consultar información pública sobre los perfiles en función del ID de Trello, el nombre de usuario o la dirección de email.
Este actor de amenazas armó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para ver si estaban vinculadas a una cuenta de Trello y luego usó la información para crear los perfiles de más de 15 millones de usuarios.
Los investigadores de la empresa proveedora de plataformas de ciberriesgo Centraleyes dijero en enero sobre el incidente de seguridad que ponía de relieve la necesidad de adoptar prácticas de ciberseguridad vigilantes para proteger los datos de los usuarios.
Además, reconocieron la naturaleza pública de la mayor parte de la información, pero añadieron que “la asociación de direcciones de correo electrónico privadas con perfiles de Trello aumentó la gravedad de la filtración”.