Открытый API Trello позволяет связывать частные адреса электронной почты с учётными записями сервиса. На днях неизвестный хакер попытался продать в даркнете данные более чем 15 млн аккаунтов Trello, которые он извлёк при помощи этого API.
Они содержали адреса электронной почты, имена пользователей и другую информацию. Почти все данные в этих профилях и так являются общедоступными, кроме e-mail.
В Trello заявили, что информацию собрали путём очистки общедоступных данных, проверив существующий список адресов электронной почты на соответствие общедоступным профилям пользователей. В сервисе не выявили признаков несанкционированного доступа к Trello или аккаунтам.
Однако в BleepingComputer смогли пообщаться с самим хакером и выяснить, что он использовал общедоступный API для связывания адресов электронной почты с профилями Trello. Так называемый REST API позволяет разработчикам интегрировать службу в свои приложения. Один из эндпоинтов API разрешает запрашивать общедоступную информацию о профиле на основе идентификатора Trello или имени пользователя. Хакер обнаружил, что её можно запросить, используя адрес электронной почты.
Поскольку API является общедоступным, то к нему можно обращаться без входа в учётную запись Trello или использования ключа аутентификации API.
Злоумышленник составил список из 500 млн адресов электронной почты и передал их в API, чтобы определить, связаны ли они с учётными записями Trello. Для ускорения работы он использовал прокси-серверы.
В BleepingComputer спросили Trello, будет ли сервис дополнительно защищать API для предотвращения злоупотреблений. Там ответили: «Благодаря API Trello REST пользователи получили возможность приглашать участников или гостей на свои общедоступные форумы по адресу электронной почты. Однако, учитывая неправомерное использование API, выявленное в ходе этого расследования, мы внесли в него изменение, и теперь пользователи/службы не могут запрашивать общедоступную информацию другого пользователя по электронной почте. Пользователи, прошедшие проверку подлинности, по-прежнему могут запрашивать эту информацию».
Утечку Trello уже добавили в службу уведомлений Have I Been Pwned, что позволяет любому удостовериться, входит ли он в список.
Аналогичная утечка произошла в 2021 году, когда злоумышленники воспользовались ошибкой API Twitter. Это позволяло им вводить адреса электронной почты и номера телефонов и подтверждать, связаны ли они с идентификатором Twitter. Хакеры использовали другой API для сбора общедоступных данных соцсети, объединяя общедоступные данные с соответствующими адресами электронной почты и номерами телефонов. Twitter устранил эту ошибку в январе 2022 года, но к тому времени утекло более 200 млн профилей.