Trello هي أداة شائعة لإدارة المشاريع، ومعروفة بتنسيق القائمة على طراز Kanban.
يوم الثلاثاء، تمت مشاركة البيانات الخاصة المرتبطة بـ 15,115,516 ملفًا شخصيًا لمستخدمي Trello في منتدى شائع للمتسللين، كما لاحظ لأول مرة موقع أخبار الأمن السيبراني. صفير الكمبيوتريبدو أن أحد المتسللين اكتشف ثغرة أمنية في نظام Trello وتمكن من استخراج البيانات الخاصة الحساسة للمستخدمين.
على الرغم من أن الكثير من البيانات المتعلقة بحساب Trello هي معلومات عامة، إلا أنها ليست كلها كذلك. إلى حد بعيد، الجزء الأكثر إثارة للقلق بالنسبة لمستخدمي Trello يتعلق ببيانات عنوان البريد الإلكتروني.
لدى أكثر من 15 مليون من مستخدمي Trello الآن عناوين بريدهم الإلكتروني الخاصة المرتبطة بملفاتهم الشخصية في Trello المعروضة للعامة.
كيف حصل هذا؟
يعود تاريخ خرق بيانات Trello والتسرب اللاحق إلى وقت سابق من هذا العام. الكمبيوتر النائم لاحظت لأول مرة في يناير أن المتسلل، تحت الاسم المستعار “emo”، كان يبيع بيانات Trello في منتدى القرصنة قبل توفير وصول أوسع هذا الأسبوع.
سرعة الضوء ماشابل
قامت الشركة الأم لـ Trello، Atlassian، و”emo” (المتسلل) بمشاركة المزيد من المعلومات حول كيفية حدوث هذا التسرب.
وفقًا لمنشور في المنتدى، اكتشف المتسلل أن “Trello لديه نقطة نهاية API مفتوحة تسمح لأي مستخدم غير مصادق بتعيين عنوان بريد إلكتروني إلى حساب Trello.” وفي المراسلات مع Bleeping Computer، أوضح المتسلل أيضًا أنه بمجرد اكتشاف الخلل، قاموا بجمع قائمة بمئات الملايين من عناوين البريد الإلكتروني وقاموا بمراجعتها مع حسابات Trello في واجهة برمجة التطبيقات. ومن هناك، تمكن “emo” من ربط عناوين البريد الإلكتروني هذه بحسابات Trello وإنشاء ملف تعريف مستخدم لأكثر من 15 مليون حساب.
أطلسي مؤكد تمت مناقشة مشكلة Bleeping Computer في بيان، مدعيًا أن واجهة برمجة تطبيقات REST الخاصة بـ Trello كانت تهدف إلى السماح لمستخدمي Trello بدعوة الضيوف إلى المنتديات العامة عبر البريد الإلكتروني. قامت الشركة بتحديث واجهة برمجة تطبيقات Trello للحفاظ على هذه الوظيفة مع منع إساءة استخدامها من قبل الجهات الخبيثة.
وقالت Atlassian في بيانها: “نظرًا لإساءة استخدام واجهة برمجة التطبيقات التي تم اكتشافها خلال التحقيق الذي أجري في يناير 2024، فقد أجرينا تغييرًا عليها حتى لا يتمكن المستخدمون/الخدمات غير المصادق عليها من طلب معلومات عامة لمستخدم آخر عبر البريد الإلكتروني”. “لا يزال بإمكان المستخدمين المصادق عليهم طلب المعلومات المتاحة للعامة في الملف الشخصي لمستخدم آخر باستخدام واجهة برمجة التطبيقات هذه. يحقق هذا التغيير توازنًا بين منع إساءة استخدام واجهة برمجة التطبيقات (API) مع الحفاظ على عمل وظيفة “الدعوة إلى المنتدى العام عبر البريد الإلكتروني” لمستخدمينا. سنستمر في مراقبة استخدام واجهة برمجة التطبيقات (API) واتخاذ أي إجراء ضروري. »
إن حل المشكلة هو بالتأكيد خطوة في الاتجاه الصحيح. ولسوء الحظ، فإن البيانات المسربة التي تم الحصول عليها بهذه الطريقة لا تزال موجودة. وإذا كان المرء يتساءل عما يمكن فعله بالضبط بهذه البيانات، فقد أوضح المتسلل “emo” بالضبط سبب كون تسرب Trello مفيدًا للجهات الفاعلة السيئة في منشوره في المنتدى.
كتب emo: “قاعدة البيانات هذه مفيدة جدًا للتوثيق”، وأوضح أنه من الممكن ببساطة مطابقة عنوان البريد الإلكتروني بالاسم الكامل أو الاسم المستعار المرتبط بحساب Trello باستخدام البيانات المسروقة.
يجب أن يدرك مستخدمو Trello أن هذه البيانات الحساسة متاحة.
