Emails de 15 milhões de utilizadores do Trello divulgados em fórum

Foram divulgados, num fórum de hacking, 15 milhões de endereços de email associados a contas do Trello que foram recolhidas através de uma API insegura. Habitualmente, o Trello é utilizado para organizar dados e tarefas.

Ainda que quase todos os dados dos perfis são informação pública, cada perfil contém um endereço de email não público associado à conta. A Atlassian, dona do Trello, não confirmou inicialmente como é que os dados tinham sido roubados, mas, à Bleeping Computer, o agente de ameaça que recolheu os dados especificou que utilizou o REST API.

O agente de ameaça criou uma lista de 500 endereços de email e colocou-o na API para determinar se tinham uma conta de Trello ligada. A lista foi, depois, combinada com a informação de conta de cada email, criando o perfil de mais de 15 milhões de utilizadores.

A informação – que está à venda por 2,3 milhões de euros – inclui, então, o endereço de email e outros detalhes do utilizador, como o username e o nome completo. Esta informação pode, depois, ser utilizada em ataques de phishing direcionados para roubar mais informações sensíveis, nomeadamente palavras-passe.