Ein Bedrohungsakteur hat über 15 Millionen E-Mail-Adressen von Trello-Nutzern veröffentlicht, die im Januar über eine ungesicherte API gesammelt wurden.

Trello ist ein Online-Projektmanagement-Tool, das von Atlassian betrieben wird. Unternehmen nutzen es häufig, um Daten und Aufgaben in Boards, Karten und Listen zu organisieren.

Im Januar wurde schon berichtet, dass ein Bedrohungsakteur namens ‚emo‘ Profile von 15.115.516 Trello-Mitgliedern auf einem bekannten Hackerforum verkaufte. Während fast alle Daten in diesen Profilen öffentlich sind, enthielt jedes Profil auch eine nicht-öffentliche E-Mail-Adresse, die mit dem Konto verknüpft ist.

Atlassian, der Eigentümer von Trello, bestätigte zu diesem Zeitpunkt nicht, wie die Daten gestohlen wurden. emo erklärte jedoch, dass die Daten mithilfe einer ungesicherten REST-API gesammelt wurden, die es Entwicklern ermöglichte, öffentliche Informationen über ein Profil basierend auf der Trello-ID, dem Benutzernamen oder der E-Mail-Adresse des Nutzers abzufragen.

emo erstellte eine Liste von 500 Millionen E-Mail-Adressen und speiste sie in die API ein, um festzustellen, ob sie mit einem Trello-Konto verknüpft waren. Die Liste wurde dann mit den zurückgegebenen Kontoinformationen kombiniert, um Profile für über 15 Millionen Nutzer zu erstellen.

Heute teilte emo die gesamte Liste von 15.115.516 Profilen im Breached-Hackerforum für acht Site-Credits (im Wert von 2,32 USD).

„Trello hatte einen offenen API-Endpunkt, der es jedem nicht authentifizierten Benutzer ermöglichte, eine E-Mail-Adresse einem Trello-Konto zuzuordnen“, erklärte emo im Forumspost. „Ich hatte ursprünglich vor, den Endpunkt nur mit E-Mails aus ‚com‘ (OGU, RF, Breached, etc.) Datenbanken zu füttern, aber ich entschied mich, weiterzumachen, bis ich gelangweilt war.“

Die geleakten Daten enthalten E-Mail-Adressen und öffentliche Trello-Kontoinformationen, einschließlich des vollständigen Namens des Nutzers. Diese Informationen können in gezielten Phishing-Angriffen verwendet werden, um sensiblere Informationen wie Passwörter zu stehlen. emo sagt auch, dass die Daten für Doxxing verwendet werden können, wodurch Bedrohungsakteure E-Mail-Adressen mit Personen und ihren Aliasen verknüpfen können.

Atlassian bestätigte heute, dass die Informationen über eine Trello-REST-API gesammelt wurden, die im Januar gesichert wurde.

„Durch die Trello-REST-API konnten Trello-Nutzer Mitglieder oder Gäste per E-Mail-Adresse zu ihren öffentlichen Boards einladen. Aufgrund des Missbrauchs der API, der in dieser Untersuchung im Januar 2024 aufgedeckt wurde, haben wir sie geändert, sodass nicht authentifizierte Nutzer/Dienste keine öffentlichen Informationen eines anderen Nutzers per E-Mail anfordern können. Authentifizierte Nutzer können weiterhin Informationen anfordern, die auf dem Profil eines anderen Nutzers öffentlich verfügbar sind. Diese Änderung stellt ein Gleichgewicht zwischen der Verhinderung des Missbrauchs der API und der Aufrechterhaltung der Funktion ‚Einladung zu einem öffentlichen Board per E-Mail‘ für unsere Nutzer dar. Wir werden die Nutzung der API weiterhin überwachen und bei Bedarf Maßnahmen ergreifen.“

– Atlassian

Ungesicherte APIs sind zu einem beliebten Ziel für Bedrohungsakteure geworden, die sie missbrauchen, um nicht-öffentliche Informationen wie E-Mail-Adressen und Telefonnummern mit öffentlichen Profilen zu verknüpfen.

Im Jahr 2021 missbrauchten Bedrohungsakteure eine API, um Telefonnummern mit Facebook-Konten zu verknüpfen und Profile für 533 Millionen Nutzer zu erstellen. Im Jahr 2022 erlitt Twitter eine ähnliche Verletzung, als Bedrohungsakteure eine ungesicherte API missbrauchten, um Telefonnummern und E-Mail-Adressen mit Millionen von Nutzern zu verknüpfen.

Da viele Menschen anonym in sozialen Medien posten, ermöglichten diese Daten das Enttarnen dieser Personen und stellten ein erhebliches Datenschutzrisiko dar.

Vor kurzem wurde eine ungesicherte Twilio-API verwendet, um die Telefonnummern von 33 Millionen Nutzern der Authy-Multi-Faktor-Authentifizierungs-App zu bestätigen.

Viele Organisationen versuchen, APIs durch Ratenbegrenzung statt durch Authentifizierung über einen API-Schlüssel zu sichern. Bedrohungsakteure kaufen jedoch einfach Hunderte von Proxy-Servern und rotieren die Verbindungen, um die API ständig abzufragen, wodurch die Ratenbegrenzung nutzlos wird.