
2024年1月にAtlassian(アトラシアン)が提供するTrello(トレロ)は「emo」として知られる脅威アクターが、ハッキングフォーラムで15,115,516人のTrelloメンバーのプロフィールを販売していると指摘されており、2024年7月に再び販売が確認されました。
ハッキングフォーラムで販売されているTrelloの情報
・ メールアドレス
・名前
・ユーザー名
など15,111,945 件

画像引用:HackManac
不正アクセスの原因
Trello(トレロ)公式、脅威アクター共に詳細なハッキング方法は公開していませんが、REST API の脆弱性を使用して収集され、当初API利用者はユーザーの Trello ID、ユーザー名、または電子メール アドレスに基づいてプロフィールに関する公開情報を照会できたとされています。
脅威アクターのemo は「Trello にはオープン API エンドポイントがあり、認証されていないユーザーでも電子メール アドレスを Trello アカウントにマッピングできます」
「当初は、エンドポイント メールを ‘com’ (OGU、RF、Breached など) データベースからのみ送信するつもりでしたが、飽きるまでメールを続けることにしました。」と フォーラム投稿で説明しています。
なお、本インシデントにより、AtlassianはAPIの仕様を改修し本脆弱性をFIXしました。
引用
Email addresses of 15 million Trello users leaked on hacking forum
Trello(トレロ)とは
看板形式で利用できる、タスク管理ツールで日本ではスタートアップやアーリーアダプタ層に人気のツールです。
関連記事
Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性