De Trello API werd misbruikt om e-mailadressen aan 15 miljoen accounts te koppelen

By | January 24, 2024

Dankzij een zichtbare Trello API kunnen privé-e-mailadressen worden gekoppeld aan Trello-accounts, waardoor miljoenen gegevensprofielen kunnen worden aangemaakt die zowel openbare als privé-informatie bevatten.

Trello is een online projectmanagementtool van Atlassian die vaak door bedrijven wordt gebruikt om gegevens en taken te ordenen in borden, kaarten en lijsten.


Het nieuws over het Trello-datalek brak vorige week uit toen een persoon die het pseudoniem ’emo’ gebruikte, probeerde de gegevens van 15.115.516 Trello-leden op een populair hackerforum te verkopen.

“Omvat e-mails, gebruikersnamen, volledige namen en andere accountinformatie. 15.115.516 unieke regels”, luidt het bericht op het hackforum.

“Verkoop een exemplaar aan iedereen die het wil hebben, schrijf mij ter plaatse of per telegram als je geïnteresseerd bent.”

Trello-post op het hackforum
Bron: BleepingComputer

Hoewel bijna alle gegevens in deze profielen openbaar zijn, zijn de e-mailadressen die aan de profielen zijn gekoppeld niet openbaar.

Toen BleepingComputer vorige week contact opnam met Trello over het datalek, kregen we te horen dat de gegevens niet waren verzameld via ongeautoriseerde toegang tot de systemen van Trello, maar eerder via het schrapen van openbare gegevens.

“Alle bewijzen wijzen erop dat een bedreigingsacteur een reeds bestaande lijst met e-mailadressen met openbaar beschikbare Trello-gebruikersprofielen test”, vertelde Atlassian, de eigenaar van Trello, vorige week aan BleepingComputer.

“We voeren een uitgebreid onderzoek uit en hebben geen bewijs gevonden van ongeoorloofde toegang tot Trello of gebruikersprofielen.”

Het lijkt er echter op dat er meer aan de hand was, aangezien de bedreigingsacteur erin slaagde de e-mailadressen te bevestigen.

Misbruik van een blootgestelde API

In een gesprek met emo ontdekte BleepingComputer dat een openbaar beschikbare API werd gebruikt om e-mailadressen aan openbare Trello-profielen te koppelen.

Trello biedt een REST API waarmee ontwikkelaars de service in hun applicaties kunnen integreren. Met een van de API-eindpunten kunnen ontwikkelaars openbare informatie over een profiel opvragen op basis van de Trello-ID of gebruikersnaam van de gebruiker.

Emo ontdekte echter dat je dit API-eindpunt ook via een e-mailadres kunt opvragen en, als er een gekoppeld account is, de openbare profielinformatie kunt opvragen.

Emo zei verder dat de API openbaar toegankelijk is, wat betekent dat deze kan worden opgevraagd zonder in te loggen op een Trello-account of een API-authenticatiesleutel te gebruiken.

De bedreigingsacteur creëerde vervolgens een lijst van 500 miljoen e-mailadressen en voerde deze in de API in om te bepalen of ze aan een Trello-account waren gekoppeld.

Terwijl BleepingComputer te horen kreeg dat de Trello API een tarieflimiet per IP-adres had, zei de bedreigingsacteur dat hij proxyservers had aangeschaft om verbindingen te roteren en voortdurend de API te bevragen.

De API is nu versterkt om authenticatie te vereisen, maar is nog steeds beschikbaar voor iedereen die een gratis account aanmaakt.

BleepingComputer nam contact op met Trello om te zien of ze de API verder wilden beveiligen om misbruik te voorkomen en ze deelden de volgende verklaring:

“Dankzij de Trello REST API konden Trello-gebruikers via hun e-mailadres leden of gasten uitnodigen voor hun openbare forums. Gezien het misbruik van de API dat in dit onderzoek aan het licht is gekomen, hebben we er echter een wijziging in aangebracht om niet-geverifieerd gebruik mogelijk te maken.” Gebruikers/diensten kunnen niet via e-mail de openbare informatie van een andere gebruiker opvragen. Geauthenticeerde gebruikers kunnen met deze API nog steeds informatie opvragen die openbaar beschikbaar is op het profiel van een andere gebruiker. Deze verandering zorgt voor een evenwicht tussen het voorkomen van misbruik van de API en het behouden van het karakter van een ‘uitnodiging voor een openbaar forum’. De functie “via e-mail” werkt voor onze gebruikers. We zullen het gebruik van de API blijven monitoren en de nodige actie ondernemen.”

Hoewel het verzamelen van openbare gegevens meestal geen probleem is omdat de gegevens al openbaar waren, mogen e-mailadressen die aan Trello-accounts zijn gekoppeld alleen bekend zijn bij de accounteigenaar.

Daarom vergroot het koppelen van privégegevens, zoals een e-mail, aan het openbare profiel de ernst van het lek.

Bovendien kan deze informatie worden gebruikt in gerichte phishing-campagnes waarbij de identiteit van Trello wordt nagebootst om gevoeligere informatie zoals wachtwoorden te stelen.

Voor de betrokkenen: het Trello-lek was toegevoegd naar de melddienst datalekken Have I Been Pwned, waarmee iedereen kan controleren of hij of zij tot de 15 miljoen gelekte e-mailadressen behoort.

Een soortgelijk lek deed zich voor in 2021 toen bedreigingsactoren misbruik maakten van een Twitter API-fout waarmee gebruikers e-mailadressen en telefoonnummers konden invoeren en konden bevestigen of deze aan een Twitter-ID waren gekoppeld.

De bedreigingsactoren gebruikten een andere API om in de openbare gegevens van Twitter naar de ID te zoeken en combineerden de openbare gegevens met de bijbehorende privé-e-mailadressen en telefoonnummers van Twitter-gebruikers.

Twitter repareerde deze bug in januari 2022, maar tegen die tijd was het te laat omdat meerdere bedreigingsactoren uiteindelijk de gegevens van meer dan 200 miljoen Twitter-profielen lekten.

Leave a Reply

Your email address will not be published. Required fields are marked *