Trello es uno de los tableros de colaboración más importantes que existe en el mundo de la productividad, donde miles de s ingresan con un correo electrónico para asociarse a grupos de trabajo.
Por eso es tan sensible lo descubierto por el sitio web de noticias de ciberseguridad Bleeping Computer.
El martes, los datos privados conectados a 15.115.516 perfiles de s de Trello se compartieron en un foro popular para piratas informáticos. Lo que dicen los informes es que un solo pirata informático descubrió una falla en el sistema de Trello y pudo extraer datos confidenciales de s privados.
Sin embargo, estos quince millones de correos electrónicos ya están circulando hace un tiempo. Bleeping Computer notó por primera vez en enero que el hacker, con el apodo de «emo», estaba vendiendo los datos de Trello en el foro de piratería antes de proporcionar un mayor a ellos esta semana.
Según una publicación en el foro del hacker, descubrieron que «Trello tenía un punto final de API abierto que permite a cualquier no autenticado asignar una dirección de correo electrónico a una cuenta de Trello». En una correspondencia con Bleeping Computer, el hacker explicó además que una vez que descubrieron la falla, armaron una lista de cientos de millones de direcciones de correo electrónico y las cotejaron con las cuentas de Trello en la API. A partir de ahí, «emo» pudo vincular esas direcciones de correo electrónico con cuentas de Trello y crear un perfil de para más de 15 millones de cuentas.
Atlassian, la compañía que tiene a Trello, comentó lo siguiente en un comunicado:
«Dado el mal uso de la API descubierto en esta investigación de enero de 2024, hicimos un cambio en ella para que los s/servicios no autenticados no puedan solicitar la información pública de otro por correo electrónico», dijo Atlassian en su comunicado. «Los s autenticados aún pueden solicitar información que está disponible públicamente en el perfil de otro utilizando esta API. Este cambio logra un equilibrio entre evitar el uso indebido de la API y mantener la función «invitar a un tablero público por correo electrónico» que funciona para nuestros s. Continuaremos monitoreando el uso de la API y tomaremos las medidas necesarias».
