Dados de e-mail de mais de 15 milhões de contas comprometidas da plataforma Trello foram disponibilizados em fórum hacker por um valor simbólico: o autor do ataque vendeu as informações por créditos que valem cerca de US$ 2,32 (cerca de R$ 13 em conversão direta).
- Clique e siga o no WhatsApp
- Hackers afirmam ter vazado 1 TB de dados da Disney em protesto contra uso de IA
As informações do Trello foram obtidas pelo hacker em janeiro deste ano devido a uma vulnerabilidade numa das APIs da plataforma de organização. O invasor detectou uma falha que permitia localizar qualquer endereço de e-mail vinculado a uma conta do aplicativo e então usou credenciais publicamente disponíveis para identificar perfis que tinham conta no serviço.
Além dos e-mails, os arquivos incluem informações públicas da conta de cada pessoa, como o nome completo do usuário, informa o site BleepingComputer. Os dados podem ser usados por hackers para tentativas de phishing ou golpes que envolvam a exposição de um indivíduo.
–
Entre no Canal do WhatsApp do e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Trello diz que corrigiu falha
Em resposta à matéria original, a Atlassian (proprietária do Trello) informou que mudou o sistema da API para evitar que usuários sem autenticação tenham acesso a informações públicas das contas cadastradas no serviço. Veja a nota completa:
“Usuários do Trello puderam convidar membros ou visitantes para seus quadros públicos pelo endereço de e-mail, possibilitado pela REST API do Trello. Entretanto, devido ao abuso da API descoberto na investigação de janeiro de 2024, fizemos uma mudança para que usuários e serviços sem autenticação não possam pedir acesso às informações públicas de outro usuário por e-mail.
Usuários autenticados ainda podem pedir informações disponíveis publicamente sobre outro perfil usando a API. A mudança cria um equilíbrio entre prevenir o uso indevido da API e manter o recurso “convidar a um quadro público por e-mail” funcionando para nossos usuários. Vamos monitorar o uso da API e tomar qualquer ação necessária”.
Recentemente, uma brecha na plataforma Authy também possibilitou o acesso a dados de usuários.
Leia mais matérias no ItechNews .
Trending no :
- Tenacious D: Turnê de Jack Black é cancelada após piada infeliz do guitarrista
- Cientistas descobrem microcontinente entre o Canadá e a Groenlândia
- DC anuncia seu próprio “Universo Ultimate” com Absolute Universe
- Vídeo mostra tribo isolada se aproximando de áreas de extrativismo na Amazônia
- Caso Nego Di: entenda investigação sobre rifas virtuais
- George R. R. Martin revela que Os Ventos do Inverno ainda não está pronto