Trello: 15 Millionen Daten in Untergrundforum angeboten, Atlassian wiegelt ab
Ein Cyberkrimineller bietet im Januar erbeutete Trello-Daten in Untergrundforum an. Mutterkonzern Atlassian versichert, dass das Problem längst behoben sei.
(Bild: Sulastri Sulastri/Shutterstock.com)
Ein Cyberkrimineller bietet 15 Millionen Datensätze, die er im Januar beim Projektmanagement-Tool Trello abgegriffen hatte, in einem Untergrundforum für 2,32 US-Dollar an. Es handelt sich denselben Account, der auch die Daten von Life360, der Tracking-App für Familien, veröffentlicht hatte.
Atlassian betont, dass die dafür verantwortlichen Einstellungen für den API-Zugriff bei Trello bereits nach der Veröffentlichung eines Auszugs der Daten im Januar angepasst wurden. Trello hatte seine Kunden im Januar darüber informiert, "dass eine bereits existierende Liste mit E-Mail-Adressen aus anderen Quellen gegen eine Trello-API getestet wurde" und in diesem Zuge Sicherheitshinweise gegeben.
Demnächst will Atlassian den Hinweis über die Änderungen an der API auf seiner Website ergänzen, wie ein Sprecher heise online mitteilte. Zu den abgeflossenen Daten gehören die E-Mail-Adressen der Nutzer, verknüpft mit deren Namen und Profilnamen. Die Angreifer nutzten eine öffentliche REST-API, mit der Nutzer andere Mitglieder oder Gäste über eine E-Mail-Adresse zu ihren öffentlichen Boards einladen können.
Nur authentisierte Nutzer können Daten anfordern
Atlassian hatte gegenüber Bleeping Computer nochmals bekräftigt, "sodass nicht authentifizierte Nutzer/Dienste die öffentlichen Informationen eines anderen Nutzers nicht per E-Mail anfordern können". Jetzt können lediglich "authentifizierte Nutzer über diese API weiterhin Informationen abrufen, die im Profil eines anderen Nutzers öffentlich zugänglich sind", so Atlassian. Das Unternehmen wolle die Nutzung der API weiterhin überwachen und "alle notwendigen Maßnahmen ergreifen". Nutzer sollen zudem weiterhin die Möglichkeit haben, andere per Mail zu einem öffentlichen Board einzuladen.
Die Daten können von bösartigen Akteuren für gezieltes Phishing oder Credential-Stuffing-Angriffe genutzt werden, um Passwörter zu finden oder auf weitere Dienste zuzugreifen. Nutzer können bei Have-I-Been-Pwned prüfen, ob ihre Zugangsdaten geleakt wurden. Das Have-I-Been-Pwned-Projekt hatte die Trello-Daten bereits im Januar seinem Fundus hinzugefügt.
Informationen von Atlassian ergänzt und korrigiert, dass Trello nicht den Abfluss von 15 Millionen E-Mail-Adressen bestätigt hat und klarer herausgestellt, dass der problematische API-Zugriff bereits im Januar unterbunden wurde.
(mack)
