Информация об общедоступных учетных записях более 15 миллионов пользователей Trello была утечена в сети после того, как участник угроз решил в сущности раздать ее на хакерском форуме. В январе 2024 года участник угроз с псевдонимом ‘эмо’ заявил, что собрал 15 115 516 адресов электронной почты, используемых для регистрации учетных записей Trello, подав более 500 миллионов адресов электронной почты в незащищенный API, чтобы узнать, какие из них использовались для учетной записи на платформе. Помимо адреса электронной почты, хакер получил общедоступную информацию об учетной записи Trello людей, а также полные имена.
Примерно через полгода тот же участник угроз теперь продаёт базу данных на хакерском форуме Breached за восемь сайтовых кредитов. Согласно BleepingComputer, это равно $2.32.
«У Trello была открытая точка доступа API, которая позволяет любому неаутентифицированному пользователю сопоставлять адрес электронной почты с учетной записью Trello», — заявил участник угроз. «Сначала я собирался использовать только электронные адреса из баз данных ‘com’ (OGU, RF, Breached и т. д.), но потом решил продолжить с электронными адресами, пока не наскучит».
Поначалу Trello отрицал, что его система была взломана, и заявил, что хакер создал базу данных из общедоступной и собранной информации. Теперь он подтвердил, что инцидент был вызван незащищенным API.
Источник: TechRadar
