Pubblicati 15 milioni di indirizzi email associati ad account Trello
di Riccardo Robecchi pubblicata il 19 Luglio 2024, alle 15:11 nel canale SecurityTrello, il servizio per la gestione dei progetti di proprietà di Atlassian, è stato vittima di un attacco tramite il quale sono stati sottratti 15 milioni di indirizzi email di utenti iscritti
Un elenco di 15 milioni di indirizzi email associati ad account su Trello, servizio di Atlassian per la gestione dei progetti, è stato pubblicato in Rete su un forum di hacker. L'azienda ha confermato che le informazioni sono state raccolte a gennaio tramite delle API.
15 milioni di email associate a Trello pubblicate in Rete
Il malvivente che ha portato a termine l'attacco si fa chiamare "emo" e afferma di aver scoperto che Trello metteva liberamente a disposizione un'API per verificare se un indirizzo email era registrato al servizio. Ha dunque raccolto circa 500 milioni di indirizzi email da varie fonti in Rete, prevalentemente da liste già pubblicate da altri hacker negli anni, per interrogare l'API e verificare quali fossero effettivamente iscritti.
L'API consente non solo di verificare gli indirizzi email, ma anche di ottenere i nomi corrispondenti e altre informazioni, che non risultano pericolose o compromettenti di per sé (non sono infatti disponibili le password) ma possono essere usate per confezionare attacchi di phishing più sofisticati e con una maggiore probabilità di successo.
L'attacco, come spiega Bleeping Cmoputer, è stato reso possibile dal fatto che Atlassian non richiedeva l'autenticazione per usare l'API. Dopo che l'azienda si è resa conto dell'uso illecito che ne veniva fatto, ha reso l'API accessibile solo agli utenti autenticati, così da scongiurare il rischio che altri attacchi simili possano verificarsi in futuro.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".