Január végén számoltunk be róla, hogy feltörték a Trellót, a sokak által használt produktivitási platformot, és 15 millió ügyfél adatait lopták el. Azért voltak megnyugtató tényezők is, ugyanis jelszavak nem kerültek nyilvánosságra, az e-mail-címek közül pedig nem sikerült olyanokat megkaparintani, amelyek más források révén már ne lettek volna eddig is hozzáférhetők.
Mint később kiderült, az elkövető áruba bocsátotta az adatcsomagot a sötét web egy népszerű piacterén, azonban nem járhatott sikerrel, mivel most, fél évvel az eset után ismételten felbukkant, és eladja a teljes adatbázist, méghozzá bagóért cserébe, szinte ingyen.
A BleepingComputer jelentette, hogy a feltörésért felelős kiberbűnöző, bizonyos "emo" nyolc kreditért árulja az adatbázist a Breached hackerfórumon, ami a honlap számítása alapján nagyjából 2,32 dollárnak, vagyis mindösszesen 830 forintnak felel meg. Nagyjából egy tábla csoki áráért ad túl rajta.
"A Trello rendelkezett egy nyílt API végponttal, amely lehetővé tette bármelyik nem hitelesített felhasználó számára, hogy egy e-mail-címet hozzárendeljen egy fiókhoz. Eredetileg csak a "com" (OGU, RF, Breached stb.) adatbázisokból származó e-maileket akartam betáplálni a végpontba, de úgy döntöttem, hogy addig folytatom az e-mailekkel, amíg meg nem unom".
- nyilatkozta az elkövető. Kezdetben a Trello tagadta, hogy feltörték volna, és azt állította a platform, hogy a hacker nyilvános és összekapart információkból építette fel az adatbázisát, most mégis megerősítette, hogy az incidens egy nem biztonságos API miatt történhetett meg:
"A Trello REST API lehetővé tette, hogy a Trello felhasználók e-mail-cím alapján tagokat vagy vendégeket hívjanak meg a nyilvános tábláikra. Tekintettel azonban az API-val való visszaélésre, amelyet a 2024. januári vizsgálat tárt fel, változtattunk rajta, hogy a nem hitelesített felhasználók/szolgáltatások ne kérhessék e-mailben egy másik felhasználó nyilvános adatait. A hitelesített felhasználók azonban továbbra is lekérdezhetnek olyan információkat, amelyek nyilvánosan elérhetőek egy másik felhasználó profilján az API segítségével. Ez a változtatás egyensúlyt teremt az API-val való visszaélés megakadályozása esetében, miközben a "nyilvános fórumra való meghívás e-mailben" funkció továbbra is működik a felhasználóink számára. Továbbra is figyelemmel kísérjük az API használatát, és megtesszük a szükséges intézkedéseket."
Bár a nyilvános információk ilyen módon történő gyűjtése nem hangzik különösen veszélyes támadásnak, amit megszereznek, azt fel lehet használni meggyőző adathalász e-mailek létrehozására. Ez pedig pedig már valóban pusztító következményekhez vezethet, például jelszólopáshoz, rosszindulatú szoftverek telepítéséhez és hasonlókhoz. Érdemes időnként ellenőrizni a Have I Been Pwned oldalon, hogy a te e-mail címed is egyike-e a megszerzetteknek, és ha igen, ideje jelszót váltani, vagy esetleg érdemes beszerezni egy megbízható jelszómenedzsert.
