Falha na API do Trello permitiu recolha de dados das contas
Uma falha na API da plataforma Trello poderá ter permitir ligado milhares de emails a contas dentro da plataforma, o que poderá ter permitido criar perfis para vários utilizadores da mesma, contendo informação privada e pública.
A Trello é uma plataforma de gestão de tarefas, gerida pela Atlassian, e bastante usada no meio empresarial. A confirmação da exploração da falha começou a surgir depois de um utilizador ter tentado vender dados de mais de 15 milhões de contas da Trello num portal da dark web.
O vendedor indicava que os registos possuíam dados como o email das contas, nomes, nomes de utilizador e outra informação associada com os membros. Apesar de muita informação existente nestes registos encontrar-se disponível publicamente, os emails será algo que não está facilmente acessível, mas que estaria também incluído na lista.
De acordo com a Atlassian, gestora da plataforma, a base de dados à venda não terá informação derivada de um acesso direto aos sistemas da Trello, mas sim de recolha de dados públicos dos perfis de utilizadores.
No entanto, de acordo com o portal BleepingComputer, a recolha dos emails terá sido realizada através da exploração de uma falha na API da plataforma, a qual permitia associar os emails a contas dentro da mesma, e eventualmente, obter mais informação.
A API da Trello normalmente é usada para permitir aos programadores criarem as suas próprias aplicações, e para as empresas usarem sistemas internos de gestão das tarefas na Trello. No entanto, usando o email, é possível usar esta API para recolher informações das contas associadas na mesma – que terá sido o meio usado pelo vendedor para criar a base de dados.
A API foi entretanto atualizada para requerer a autenticação dos utilizadores para uso, mas ainda se encontra disponível livremente, e qualquer um pode aceder usando ou criando uma conta gratuita da Trello.
De notar que a base de dados agora à venda pode conter dados pessoais, mas os mesmos encontram-se diretamente associados com as contas da Trello, e portanto, tirando o email, será informação que está disponível publicamente na plataforma.