Seorang pelaku ancaman telah merilis lebih dari 15 juta alamat email yang terkait dengan akun Trello yang dikumpulkan menggunakan API yang tidak aman pada bulan Januari.
Trello adalah alat manajemen proyek daring milik Atlassian. Bisnis umumnya menggunakannya untuk mengatur data dan tugas ke dalam papan, kartu, dan daftar.
Di Januari, BleepingComputer melaporkan bahwa aktor ancaman yang dikenal sebagai ’emo’ menjual profil untuk 15.115.516 anggota Trello di forum peretasan populer.
Meskipun hampir semua data dalam profil ini merupakan informasi publik, setiap profil juga berisi alamat email non-publik yang terkait dengan akun tersebut.
Sementara Atlassian, pemilik Trello, tidak mengonfirmasi pada saat itu bagaimana data tersebut dicuri, emo mengatakan kepada BleepingComputer bahwa data tersebut dikumpulkan menggunakan REST API yang tidak aman yang memungkinkan pengembang untuk meminta informasi publik tentang profil berdasarkan ID Trello, nama pengguna, atau alamat email pengguna.
emo membuat daftar berisi 500 juta alamat email dan memasukkannya ke dalam API untuk menentukan apakah alamat tersebut terhubung ke akun Trello. Daftar tersebut kemudian digabungkan dengan informasi akun yang dikembalikan untuk membuat profil anggota bagi lebih dari 15 juta pengguna.
Hari ini, emo membagikan seluruh daftar 15.115.516 profil di forum peretasan Breached untuk delapan kredit situs (senilai $2,32).
“Trello memiliki titik akhir API terbuka yang memungkinkan setiap pengguna yang tidak diautentikasi untuk memetakan alamat email ke akun Trello,” jelas emo dalam posting forum tersebut.
“Awalnya saya hanya akan memberi makan email titik akhir dari basis data ‘com’ (OGU, RF, Breached, dll.) tetapi saya memutuskan untuk terus menggunakan email sampai saya bosan.”
Data yang bocor mencakup alamat email dan informasi akun publik Trello, termasuk nama lengkap pengguna.
Informasi ini dapat digunakan dalam serangan phishing yang ditargetkan untuk mencuri informasi yang lebih sensitif, seperti kata sandi. emo juga mengatakan data tersebut dapat digunakan untuk doxxing, yang memungkinkan pelaku ancaman untuk menghubungkan alamat email ke orang-orang dan alias mereka.
Atlassian mengonfirmasi kepada BleepingComputer hari ini bahwa informasi tersebut dikumpulkan melalui Trello REST API yang diamankan pada bulan Januari.
“Diaktifkan oleh Trello REST API, pengguna Trello dapat mengundang anggota atau tamu ke forum publik mereka melalui alamat email. Namun, mengingat penyalahgunaan API yang terungkap dalam investigasi Januari 2024 ini, kami membuat perubahan sehingga pengguna/layanan yang tidak diautentikasi tidak dapat meminta informasi publik pengguna lain melalui email. Pengguna yang diautentikasi masih dapat meminta informasi yang tersedia untuk umum di profil pengguna lain menggunakan API ini. Perubahan ini menyeimbangkan antara mencegah penyalahgunaan API sekaligus menjaga fitur ‘undang ke forum publik melalui email’ tetap berfungsi bagi pengguna kami. Kami akan terus memantau penggunaan API dan mengambil tindakan yang diperlukan.”
❖ Atlassian
API yang tidak aman telah menjadi target populer bagi pelaku ancaman, yang menyalahgunakannya untuk menggabungkan informasi non-publik, seperti alamat email dan nomor telepon, dengan profil publik.
Pada tahun 2021, pelaku ancaman menyalahgunakan API untuk menghubungkan nomor telepon ke akun Facebookmembuat profil untuk 533 juta pengguna.
Pada tahun 2022, Twitter mengalami pelanggaran serupa ketika pelaku ancaman menyalahgunakan API yang tidak aman untuk menghubungkan nomor telepon dan alamat email ke jutaan pengguna.
Karena banyak orang yang memposting secara anonim di media sosial, data ini memungkinkan terungkapnya identitas orang-orang tersebut, sehingga menimbulkan risiko privasi yang signifikan.
Baru-baru ini, API Twilio yang tidak aman digunakan untuk mengonfirmasi nomor telepon 33 juta pengguna aplikasi autentikasi multifaktor Authy.
Banyak organisasi mencoba mengamankan API menggunakan pembatasan laju, bukan melalui autentikasi melalui kunci API.
Namun, pelaku ancaman cukup membeli ratusan server proxy dan memutar koneksi untuk terus-menerus meminta API, sehingga pembatasan kecepatan menjadi tidak berguna.
