تسرب Trello: كشف أكثر من 15 مليون عنوان بريد إلكتروني كيف حدث هذا؟
Trello هي أداة شائعة لإدارة المشاريع ومعروفة بتنسيق القائمة على طراز كانبان.
في يوم الثلاثاء، تمت مشاركة البيانات الخاصة المرتبطة بـ 15,115,516 ملفًا شخصيًا لمستخدمي Trello في منتدى شائع للمتسللين، كما لاحظ لأول مرة موقع أخبار الأمن السيبراني. الكمبيوتر النائم. يبدو أن أحد المتسللين اكتشف ثغرة في نظام Trello وتمكن من استخراج بيانات المستخدم الخاصة الحساسة.
على الرغم من أن الكثير من البيانات المرتبطة بحساب Trello هي معلومات عامة، إلا أنها ليست كلها كذلك. إلى حد بعيد، الجزء الأكثر إثارة للقلق بالنسبة لمستخدمي Trello هو بيانات عنوان البريد الإلكتروني.
لدى أكثر من 15 مليون من مستخدمي Trello الآن عناوين بريدهم الإلكتروني الخاصة المرتبطة بملفاتهم الشخصية في Trello المعروضة للعامة.
عروض Prime Day التي يمكنك تسوقها الآن
يتم اختيار المنتجات المتاحة للشراء هنا من خلال الروابط التابعة من قبل فريق التجارة لدينا. إذا قمت بشراء شيء ما من خلال الروابط الموجودة على موقعنا، فقد يحصل Mashable على عمولة تابعة.
كيف حدث هذا؟
يمكن إرجاع خرق بيانات Trello والتسرب اللاحق إلى وقت سابق من هذا العام. لاحظت Bleeping Computer لأول مرة في يناير أن المتسلل، الذي يحمل لقب “emo”، كان يبيع بيانات Trello في منتدى القرصنة قبل توفير وصول أكبر إليها هذا الأسبوع.
سرعة الضوء ماشابل
قامت كل من الشركة الأم لـ Trello، Atlassian، و”emo” (المتسلل)، بمشاركة المزيد من المعلومات حول كيفية حدوث هذا التسريب.
وفقًا لمنشور في المنتدى، اكتشف المتسلل أن “Trello لديه نقطة نهاية مفتوحة لواجهة برمجة التطبيقات (API) تسمح لأي مستخدم غير مصادق عليه بتعيين عنوان بريد إلكتروني إلى حساب trello.” وفي مراسلة مع Bleeping Computer، أوضح المتسلل أيضًا أنه بمجرد اكتشاف الخلل، قاموا بتجميع قائمة بمئات الملايين من عناوين البريد الإلكتروني وفحصوها مع حسابات Trello في واجهة برمجة التطبيقات. ومن هناك، تمكنت “emo” من ربط عناوين البريد الإلكتروني تلك بحسابات Trello وإنشاء ملف تعريف مستخدم لأكثر من 15 مليون حساب.
أكد Atlassian المشكلة مع Bleeping Computer في بيان، قائلاً إن Trello REST API كان يهدف إلى السماح لمستخدمي Trello بدعوة الضيوف إلى المنتديات العامة عبر البريد الإلكتروني. قامت الشركة بتحديث واجهة برمجة تطبيقات Trello للحفاظ على هذه الميزة مع منع إساءة استخدامها من قبل الجهات الفاعلة السيئة.
وقالت Atlassian في بيانها: “بالنظر إلى سوء استخدام واجهة برمجة التطبيقات التي تم الكشف عنها في تحقيق يناير 2024، فقد أجرينا تغييرًا عليها حتى لا يتمكن المستخدمون/الخدمات غير المصادق عليها من طلب معلومات عامة لمستخدم آخر عبر البريد الإلكتروني”. “لا يزال بإمكان المستخدمين المعتمدين طلب المعلومات المتاحة للعامة في الملف الشخصي لمستخدم آخر باستخدام واجهة برمجة التطبيقات هذه. يحقق هذا التغيير توازنًا بين منع إساءة استخدام واجهة برمجة التطبيقات مع الحفاظ على عمل ميزة “الدعوة إلى لوحة عامة عبر البريد الإلكتروني” لمستخدمينا. استمر في مراقبة استخدام واجهة برمجة التطبيقات (API) واتخاذ أي إجراءات ضرورية.”
من المؤكد أن إصلاح المشكلة هو خطوة في الاتجاه الصحيح. ولسوء الحظ، فإن البيانات المسربة التي تم الحصول عليها من خلال هذه الطريقة لا تزال موجودة. وإذا تساءل المرء بالضبط عما يمكن فعله بهذه البيانات، فقد شارك “emo” المتسلل بالضبط سبب كون تسرب Trello مفيدًا للجهات الفاعلة السيئة في منشور المنتدى الخاص به.
كتب emo: “قاعدة البيانات هذه مفيدة جدًا للتوثيق”، وأوضح أنه يمكن للمرء ببساطة مطابقة عنوان البريد الإلكتروني بالاسم الكامل أو الاسم المستعار المرتبط بحساب Trello باستخدام البيانات المسروقة.
يجب أن يدرك مستخدمو Trello أن هذه البيانات الحساسة موجودة هناك.
