Een kwetsbaarheid in een Trello API van Atlassian zorgt ervoor dat private data met die van Trello-accounts wordt gekoppeld. Dat levert voor hackers interessante dataprofielen op. De kwetsbaarheid kwam aan het licht nadat een hacker data van meer dan 15 miljoen Trello-gebruikers wilde verkopen.
Een kwetsbare API in Trello, een online project managementtool van Atlassian, zorgt ervoor dar privé e-mailadressen met Trello-accounts kunnen worden gekoppeld, schrijft Bleeping Computer. Op deze manier ontstaan grote dataprofielen met zowel publieke als private informatie die voor hackers zeer interessant kunnen zijn.
Probleem in REST API
De hacker maakte de kwetsbaarheid openbaar door op een hackersforum de data van meer dan 15 miljoen Trello-gebruikers te willen verkopen. Volgens de hacker zit het probleem in een REST API die de tool biedt. Deze API stelt ontwikkelaars in staat de tool voor project management in hun eigen applicaties te integreren. Via één van de endpoints kunnen zij publieke informatie opvragen over een profiel dat is gebaseerd op de Trello ID of gebruikersnaam van een gebruiker.
De hacker constateerde dat de API endpoint ook kan worden bevraagd met behulp van een e-mailadres. Zo vindt iedereen eenvoudig het geassocieerde Trello-account en de publieke profielinformatie. Verder was de betreffende Trello API publiek toegankelijk en kon het worden bevraagd zonder in te loggen in een Trello-account of het gebruik van een API authenticatiesleutel.
Op deze manier wist de hacker data van Trello-gebruikers te achterhalen als e-mailadressen, gebruikersnamen, volledige namen en andere account-informatie.
Reactie Atlassian
In een reactie aan Bleeping Computer geeft Atlassian aan dat de data die de hacker wist te vergaren, vooral het werk was van scrapen op het internet. Volgens de ontwikkelaar heeft de hacker een eerder bestaande lijst van e-mailadressen gecheckt tegen openbaar beschikbare Trello-accounts. Uit onderzoek zou daarnaast blijken dat er geen niet-geautoriseerde toegang was verkregen tot Trello of gebruikersprofielen.
Wel heeft Atlassian de bewuste API nu aangepast zodat niet-geautoriseerde gebruikers geen publieke informatie van andere gebruikers via e-mail meer kunnen opvragen. Geautoriseerde gebruikers kunnen met de API nog steeds informatie opvragen die publiek beschikbaar is op het profiel van andere gebruikers.
Eerdere inbreuken in Atlassian tools
Het is niet de eerste keer dat kwetsbaarheden in de oplossingen van Atlassian worden ontdekt. Vorig jaar kampte Confluence met diverse kritieke kwetsbaarheden. Deze kwetsbaarheden bleken actief te worden misbruikt.
Lees ook: Recent ontdekte Atlassian Confluence-kwetsbaarheid massaal misbruikt