Foi revelado recentemente que o Trello, popular plataforma de trabalho online, sofreu um roubo massivo de dados em janeiro deste ano. Ao todo, mais de 15 milhões de contas foram comprometidas após um acesso a uma API insegura do Trello, tendo informações como endereços de e-mail expostas.
Hacker chegou a explicar como realizou o roubo
Em janeiro, o BleepingComputer relatou que um criminoso conhecido como "emo" estava vendendo dados de perfis de 15.115.516 membros do Trello em um fórum popular de hackers. Embora a maior parte dos dados sejam informações públicas, cada perfil também continha um endereço de e-mail não público e nomes completos associados à conta.
Na época, a Atlassian, proprietária do Trello, não confirmou a falha de segurança. Mas o próprio hacker emo revelou ao BleepingComputer que coletou os dados usando uma API REST não segura que permitia aos desenvolvedores consultar informações públicas sobre um perfil com base no ID do Trello, nome de usuário ou endereço de e-mail dos usuários.
Agora, o roubo de dados veio à tona porque o hacker disponibilizou a base de dados para venda. A lista completa dos 15.115.516 emails está acessível em um fórum chamado Breached, com informações à venda por apenas 8 créditos de site (cerca de U$2,32).
Trello já ampliou a segurança
Uma ferramenta de gerenciamento de projetos online, o Trello é usado por milhares de empresas de todo o mundo para organizar dados e tarefas, contando atualmente com mais de 40 milhões de usuários ativos.
Embora o vazamento de dados como e-mails e nomes completos não pareçam tão alarmantes a princípio, essas informações pessoais podem ser usadas para a criação de criar e-mails de phishing convincentes.Esse tipo de ataque, por sua vez, pode ser realizado para distribuição de malware, roubo de senhas e mais.
Para ampliar sua segurança, o Trello fez uma alteração com o objetivo de impedir que usuários não verificados solicitem informações públicas de outros usuários. Agora, apenas usuários verificados poderão solicitar informações de perfis públicos por meio da API.
FIQUE POR DENTRO!
