Pelo que foi revelado, um hacker com o pseudónimo ‘emo’ afirmou ter recolhido 15.115.516 endereços de e-mail utilizados nas contas do conhecido serviço Trello. Para recolher estas informações pessoais, introduziu mais de 500 milhões de endereços de e-mail numa API insegura.
As informações roubadas neste ataque incluíam endereços de e-mail, informações públicas da conta Trello dos utilizadores e nomes completos. Cerca de seis meses depois, o mesmo hacker que fez este roubo começou a vender esta base de dados num fórum de dedicado, chamado Breached, por apenas 8 créditos de site (cerca de 2,32 dólares).
A Trello alegou inicialmente que não houve nenhuma violação e disse que o hacker tinha criado a base de dados a partir de informações públicas. No entanto, admitiu posteriormente que o incidente foi causado por uma API insegura. A Trello afirmou que graças à sua API REST, os utilizadores podiam ser convidados com informações publicamente disponíveis através dos seus endereços de e-mail.
No entanto, e como resultado da utilização indevida desta API, foi feita uma alteração para evitar que utilizadores não verificados solicitem informações públicas de outros utilizadores. Apenas os utilizadores verificados poderão solicitar informações de perfil público de outro utilizador através desta.
Embora a recolha destas informações públicas possa não parecer perigosa à primeira vista, podem ser utilizadas para criar e-mails de phishing convincentes. Estes ataques podem levar a violações de segurança devastadoras, como o roubo de palavras-passe, a distribuição de malware e muito mais.
O Trello é uma plataforma de gestão de projetos frequentemente utilizada pelas empresas. Permite aos utilizadores organizar as suas tarefas em colunas ou cartões. A plataforma afirma ter mais de 40 milhões de utilizadores ativos.