La plataforma de gestión de proyectos Trello ha confirmado que el responsable de la filtración de datos de más de 15 millones de usuarios a principios de este año accedió a esa información a través de una interfaz de programación de aplicaciones (API) REST sin protección adecuada.
Trello es una herramienta visual enfocada al ámbito de las organizaciones que permite a sus equipos gestionar cualquier tipo de proyecto y flujo de trabajo, así como supervisar tareas. A principios de este año, la plataforma sufrió una brecha de seguridad que tuvo como resultado la filtración de datos de más de 15 millones de usuarios, entre los que se encontraban direcciones de correo electrónico de registro, nombres de usuario y nombres completos.
Según la información proporcionada, el actor de amenazas utilizó el alias ‘emo’ para intentar vender los datos de estos usuarios en el popular foro de piratería Breached. Esta filtración también se añadió al directorio de Have I Been Pwned?, un sitio web que permite comprobar si los datos personales de los usuarios están en riesgo por una violación de datos.
Explicación del Ataque a Través de la API REST
Ahora, el ciberdelincuente conocido como emo ha revelado cómo logró acceder a esta información. Según su explicación, la plataforma «tenía un punto final API abierto, que permite a cualquier usuario no autentificado asignar una dirección de correo electrónico a una cuenta de Trello«.
Emo ha reconocido que «originalmente solo iba a explotar el ‘endpoint’ con correos electrónicos de bases de datos ‘com’ (OGU, RF, Breached, etc.), pero que decidió continuar con el resto de direcciones hasta que se «aburrió». También ha indicado que la información filtrada se puede emplear en ataques de ‘phishing’ dirigidos para robar información confidencial, como contraseñas, y que esta base de datos «es muy útil para hacer doxing», una técnica que consiste en revelar información personal de alguien en línea.
Respuesta de Trello y Medidas Tomadas
Ante esta situación, Altassian, la compañía propietaria de Trello, ha confirmado que emo pudo hacerse con toda esta información a través de una API REST, que permite a los usuarios «invitar a miembros a sus tableros públicos por correo electrónico» y que protegió al conocer el incidente de seguridad.
En un comunicado, la firma ha explicado que llevó a cabo un cambio «para que los usuarios o servicios no autentificados no puedan solicitar información pública de otro usuario por correo electrónico«, no obstante, los usuarios que sí se hayan identificado «aún pueden solicitar la información que esté disponible públicamente en el perfil de otro usuario mediante esta interfaz de programación de aplicaciones«.
De esta manera, con dicho cambio Trello ha logrado «un equilibrio entre evitar el uso indebido de la API y mantener la función ‘Invitar a un tablero público por correo electrónico’ disponible en la herramienta«. No obstante, ha avanzado que continuará monitorizando el uso de la API y tomando las medidas necesarias en caso de que se vuelva a producir un incidente de estas características.
