Trello confirma que una API REST desprotegida fue la brecha que expuso los datos de más de 15 millones de usuarios
Trello ha confirmado que el actor de amenazas que en enero de este año recogió la información de más de 15 millones de perfiles de usuarios y después compartió sus datos en un conocido foro de piratería accedió a ellos a través de una interfaz de programación de aplicaciones (API) REST desprotegida.
Trello es una herramienta visual enfocada al ámbito de las organizaciones, que permite a sus equipos gestionar cualquier tipo de proyecto y flujo de trabajo, así como supervisar tareas. De esta manera, funciona como un tablero en el que es posible añadir archivos o listas de comprobación.
La plataforma sufrió una brecha de seguridad a comienzos de este año, que tuvo como resultado la filtración de datos de más de 15 millones de usuarios de la aplicación, entre los que se encontraban direcciones de correo electrónico de registro, nombres de usuario y nombres completos.
Así lo adelantó Bleeping Computer, que indicó que el actor de amenazas utilizó el alias 'emo' para intentar vender los datos de estos usuarios en el popular foro de piratería Breached.
Esta filtración también se añadió al directorio de Have I Been Pwned?, un sitio web que permite comprobar si los datos personales de los usuarios están en riesgo por una violación de datos mediante la dirección de correo electrónico.
Por su parte, la propietaria de Trello, Altassian, indicó a este medio que todas las evidencias apuntaban a que un actor de amenazas estaba probando una lista preexistente de direcciones de correo electrónico contra perfiles de usuarios de la plataforman disponibles públicamente. Asimismo, dijo que no había encontrado "ninguna evidencia de acceso no autorizado a Trello o a los perfiles de usuario".
emo ha comentado ahora que para llevar a cabo esta recopilación de datos utilizó una API REST -una interfaz de comunicación entre sistemas de información- no segura, que permitía a los desarrolladores consultar información pública sobre un perfil basado en el ID de la aplciación, el nombre de usuario o la dirección de correo electrónico que hubiesen registrado.
Este medio ha señalado ahora que el ciberdelincuente ha compartido recientemente en Breached la lista completa de los 15.115.516 perfiles que robó hace unos meses y ha explicado cómo lo logró. Según este individuo, la plataforma "tenía un punto final API abierto, que permite a cualquier usuario no autentificado asignar una dirección de correo electrónico a una cuenta de Trello".
El usuario conocido como emo ha reconocido que "originalmente solo iba a explotar el 'endpoint' "con correos electrónicos de bases de datos 'com' (OGU, RF, Breached, etc.)", pero que decidió continuar con el resto de direcciones hasta que se "aburrió".
También ha indicado que la información filtrada se puede emplear en ataques de 'phishing' dirigidos para robar información confidencial, como contraseñas. Asimismo, ha indicado que esta base de datos "es muy útil para hacer doxing", una técnica que consiste en revelar información personal de alguien 'online'.
En esta ocasión, Altassian ha confirmado que emo pudo hacerse con toda esta información a través de una API REST, que permite a los usuarios "invitar a miembros a sus tableros públicos por correo electrónico" y que protegió al conocer el incidente de seguridad, tal y como recoge un comunicado enviado a Bleeping Computer.
En el escrito, la firma ha explicado que llevó a cabo un cambio "para que los usuarios o servicios no autentificados no puedan solicitar información pública de otro usuario por correo electrónico", no obstante, los usuarios que sí se hayan identificado "aún pueden solicitar la información que esté disponible públicamente en el perfil de otro usuario mediante esta interfaz de programación de aplicaciones".
De esta manera, con dicho cambio Trello ha logrado "un equilibrio entre evitar el uso indebido de la API y mantener la función 'Invitar a un tablero público por correo electrónico" disponible en la herramienta. No obstante, ha avanzado que continuará monitorizando el uso de la API y tomando las medidas necesarias en caso de que se vuelva a producir un incidente de estas características.
