Falha na API do Trello permitiu recolha de dados das contas

Publicado em por

Falha na API do Trello permitiu recolha de dados das contas

Uma falha na API da plataforma Trello poderá ter permitir ligado milhares de emails a contas dentro da plataforma, o que poderá ter permitido criar perfis para vários utilizadores da mesma, contendo informação privada e pública.

A Trello é uma plataforma de gestão de tarefas, gerida pela Atlassian, e bastante usada no meio empresarial. A confirmação da exploração da falha começou a surgir depois de um utilizador ter tentado vender dados de mais de 15 milhões de contas da Trello num portal da dark web.

O vendedor indicava que os registos possuíam dados como o email das contas, nomes, nomes de utilizador e outra informação associada com os membros. Apesar de muita informação existente nestes registos encontrar-se disponível publicamente, os emails será algo que não está facilmente acessível, mas que estaria também incluído na lista.

De acordo com a Atlassian, gestora da plataforma, a base de dados à venda não terá informação derivada de um acesso direto aos sistemas da Trello, mas sim de recolha de dados públicos dos perfis de utilizadores.

No entanto, de acordo com o portal BleepingComputer, a recolha dos emails terá sido realizada através da exploração de uma falha na API da plataforma, a qual permitia associar os emails a contas dentro da mesma, e eventualmente, obter mais informação.

A API da Trello normalmente é usada para permitir aos programadores criarem as suas próprias aplicações, e para as empresas usarem sistemas internos de gestão das tarefas na Trello. No entanto, usando o email, é possível usar esta API para recolher informações das contas associadas na mesma – que terá sido o meio usado pelo vendedor para criar a base de dados.

A API foi entretanto atualizada para requerer a autenticação dos utilizadores para uso, mas ainda se encontra disponível livremente, e qualquer um pode aceder usando ou criando uma conta gratuita da Trello.

De notar que a base de dados agora à venda pode conter dados pessoais, mas os mesmos encontram-se diretamente associados com as contas da Trello, e portanto, tirando o email, será informação que está disponível publicamente na plataforma.