Un gruppo di hacker ha diffuso oltre 15 milioni di indirizzi email associati ad account Trello, raccolti sfruttando un'API non protetta lo scorso gennaio. Trello, di proprietà di Atlassian, è un popolare strumento di gestione progetti online utilizzato da molte aziende.
A gennaio, BleepingComputer aveva riportato che un hacker noto come 'emo' stava vendendo su un forum i profili di 15.115.516 utenti Trello. Sebbene la maggior parte dei dati fossero pubblici, ogni profilo conteneva anche l'indirizzo email privato dell'account.
L'hacker ha spiegato di aver raccolto i dati utilizzando un'API REST non protetta che permetteva di ottenere informazioni pubbliche sui profili in base a ID, username o email degli utenti Trello. 'emo' ha creato una lista di 500 milioni di email e l'ha utilizzata con l'API per verificare quali fossero collegate ad account Trello.
La diffusione dei dati
Oggi 'emo' ha condiviso l'intera lista di oltre 15 milioni di profili sul forum di hacking Breached per soli 8 crediti del sito (circa $2,32).
Queste informazioni possono essere sfruttate per attacchi di phishing mirati o per il doxing, permettendo di collegare email a persone reali e ai loro alias online.
Atlassian ha confermato che i dati sono stati raccolti attraverso un'API REST di Trello, successivamente messa in sicurezza a gennaio:
"Abbiamo modificato l'API in modo che gli utenti non autenticati non possano richiedere informazioni pubbliche di altri utenti tramite email. Gli utenti autenticati possono ancora richiedere informazioni pubblicamente disponibili. Questo cambiamento bilancia la prevenzione dell'abuso dell'API mantenendo funzionante la feature di invito a board pubbliche via email."
Il problema delle API non protette
Le API non adeguatamente protette sono diventate un bersaglio popolare per gli hacker, che le sfruttano per combinare informazioni private come email e numeri di telefono con profili pubblici. Casi simili hanno colpito in passato Facebook, Twitter e più recentemente l'app di autenticazione Authy.
Molte organizzazioni cercano di proteggere le API limitando le richieste anziché richiedere autenticazione. Tuttavia, gli hacker aggirano facilmente questi limiti utilizzando numerosi server proxy.
L'incidente di Trello sottolinea l'importanza di implementare robuste misure di sicurezza per le API, specialmente quando gestiscono dati sensibili degli utenti. Le aziende devono rimanere vigili e monitorare costantemente l'uso delle proprie API per prevenire abusi.