Dados de e-mail de mais de 15 milhões de contas comprometidas da plataforma Trello foram disponibilizados em fórum hacker por um valor simbólico: o autor do ataque vendeu as informações por créditos que valem cerca de US$ 2,32 (cerca de R$ 13 em conversão direta). 

  • Clique e siga o no WhatsApp
  • Hackers afirmam ter vazado 1 TB de dados da Disney em protesto contra uso de IA

As informações do Trello foram obtidas pelo hacker em janeiro deste ano devido a uma vulnerabilidade numa das APIs da plataforma de organização. O invasor detectou uma falha que permitia localizar qualquer endereço de e-mail vinculado a uma conta do aplicativo e então usou credenciais publicamente disponíveis para identificar perfis que tinham conta no serviço. 

Além dos e-mails, os arquivos incluem informações públicas da conta de cada pessoa, como o nome completo do usuário, informa o site BleepingComputer. Os dados podem ser usados por hackers para tentativas de phishing ou golpes que envolvam a exposição de um indivíduo.


Entre no Canal do WhatsApp do e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Falha de segurança em API expôs dados de mais de 15 milhões de usuários do Trello (Imagem: Christina @ wocintechchat.com/Unsplash)

Trello diz que corrigiu falha

Em resposta à matéria original, a Atlassian (proprietária do Trello) informou que mudou o sistema da API para evitar que usuários sem autenticação tenham acesso a informações públicas das contas cadastradas no serviço. Veja a nota completa:

“Usuários do Trello puderam convidar membros ou visitantes para seus quadros públicos pelo endereço de e-mail, possibilitado pela REST API do Trello. Entretanto, devido ao abuso  da API descoberto na investigação de janeiro de 2024, fizemos uma mudança para que usuários e serviços sem autenticação não possam pedir acesso às informações públicas de outro usuário por e-mail. 

Usuários autenticados ainda podem pedir informações disponíveis publicamente sobre outro perfil usando a API. A mudança cria um equilíbrio entre prevenir o uso indevido da API e manter o recurso “convidar a um quadro público por e-mail” funcionando para nossos usuários. Vamos monitorar o uso da API e tomar qualquer ação necessária”.

Recentemente, uma brecha na plataforma Authy também possibilitou o acesso a dados de usuários.

Leia mais matérias no ItechNews .

Trending no :

  • Tenacious D: Turnê de Jack Black é cancelada após piada infeliz do guitarrista
  • Cientistas descobrem microcontinente entre o Canadá e a Groenlândia
  • DC anuncia seu próprio “Universo Ultimate” com Absolute Universe
  • Vídeo mostra tribo isolada se aproximando de áreas de extrativismo na Amazônia
  • Caso Nego Di: entenda investigação sobre rifas virtuais
  • George R. R. Martin revela que Os Ventos do Inverno ainda não está pronto