15 milyon Trello kullanıcısının verisi çalındı ve satışa sunuldu. Popüler bir web tabanlı liste oluşturma uygulaması ve proje yönetim platformu olan Trello’nun milyonlarca kullanıcısının çalınmış verisini, dark web hacker forumunda satışa konuldu.
Veritabanı dökümü, satıcı tarafından yapılan reklamda “e-posta adresleri, kullanıcı adları, tam isimler ve diğer hesap bilgilerini” içeriyor iddiasında bulunuyor. Döküm, 15,115,516 benzersiz satır yani, kayıt içeriyor. Verinin gerçek olduğunu kanıtlamak amacıyla, satıcı ‘cheko’ terimiyle eşleşen girişleri içeren bir örnek yayınladı.
Satıcı, Trello’nun sistemlerine erişim sağladığını iddia etmiyor; bu, Atlassian’un (Trello’nun ana şirketi) The Cyber Express’e doğruladığı bilgiye göre. Şirket sözcüsü geçen hafta yaptığı açıklamada, “Araştırmamız devam ediyor, ancak bu verinin yetkisiz erişimle toplandığına dair kanıt bulamadık” şeklinde açıklamada bulundu.
Trello “veri ihlali” hakkında:
Veri, “Have I Been Pwned?” websitesine eklenmiş durumda ve Trello kullanıcıları, Trello hesaplarına ilişkin e-posta adresleri, isim ve kullanıcı adlarının dökümde yer alıp almadığını kontrol edebilirler. Bunun için, Trello hesaplarıyla ilişkilendirilmiş e-posta adresini girmeleri yeterlidir.
Hizmete göre, veri Ocak 2024’te Trello’dan alınmış ve “daha önceki ihlal kütleleri içindeki e-posta adreslerini kullanarak genel erişilebilir bir kaynağı sıralayarak elde edilmiştir.”
“Have I Been Pwned?” yaratıcısı Troy Hunt’a göre, “Görünüşe göre birisi kamuya açık dolaşımdaki bir dizi ihlalden e-posta adreslerini toplamış ve ardından bu adresleri Trello’ya atmış, hangi adreslerin sonuç döndürdüğünü görmüş gibi görünüyor.”
Bu olayın bir veri ihlali olarak adlandırılıp adlandırılamayacağı tartışmalı olabilir, ancak Hunt’a göre, bu kesinlikle bazı kullanıcılar için olumsuz sonuçlara yol açabilir.
Tabii ki, sızdırılan veri, hedefe yönelik dolandırıcılık ve şifre kaba kuvvet saldırıları için kullanılabilir.
Aynı e-posta ve şifre kombinasyonunu çeşitli çevrimiçi servislerde kullanan ve bu kombinasyonun daha önceki veri ihlallerinde tehlikeye girmiş olan kullanıcılar, Trello hesaplarının kaçırılma riski altındadır (eğer iki faktörlü kimlik doğrulamayı etkinleştirmemişlerse).
Trello: Önceki veri sızıntıları, saldırganlar tarafından hizmetin istismar edilmesi.
Trello, bulut tabanlı bir hizmet olarak, saldırganlar tarafından kötü amaçlı yükleri barındırmak veya kötü amaçlı yazılımlar için bir komut ve kontrol (C2) noktası olarak kullanılmaktadır.
Daha önce, kullanıcılar Trello tahtalarını yanlışlıkla veya belirli ayarları anlamadıkları için açık hale getirdiklerinde, Trello önceki veri sızıntılarının kaynağı olmuştur, bu durumda bazı hassas verilerini ifşa etmişlerdir.
Help Net Security, Atlassian’dan olayla ilgili güncel bilgileri ve benzer olayların önlenmesine yönelik planlarını talep etmiştir. Ayrıca, tehdit aktörü tarafından ne tür “diğer hesap bilgilerinin” çekilebileceğini sormuştur. Eğer bir yanıt alınırsa, bu makale güncellenecektir.
GÜNCELLEME (23 Ocak 2024, 11:30 ET):
“Bir yetkisiz erişimle toplandığına dair kanıt bulamadık ve kapsamlı bir inceleme yaptık,” diyen bir Atlassian sözcüsü Help Net Security’ye açıklamada bulundu.
“Bir tehdit aktörü, önceden var olan bir e-posta adresleri listesine sahipti ve bu e-posta adreslerini kullanarak genel Trello kullanıcı profillerini sorguladı. E-posta adresleri ve genel Trello kullanıcı profil verileri birleştirilerek nihai veri seti oluşturuldu. Tehdit aktörü, yalnızca zaten kamuya açık olan Trello kullanıcı profil bilgilerini elde etti ve bu bilgileri başka bir kaynaktan elde ettiği e-posta adresleri ile birleştirdi.”
GÜNCELLEME (24 Ocak 2024, 04:33 ET):
Veri setini satan kişi, Bleeping Computer’a, veriyi toplamak için bir Trello REST API’sini kullanarak herhangi bir e-posta adresi ile sorgulama yapmalarının yeterli olduğunu söyledi: yalnızca bir e-posta adresi ile sorgu yapmak, o e-posta adresiyle kayıt olan kişinin genel profil bilgilerini döndürecekti.
Trello, API’nin kullanıcıların e-posta adresiyle üyeleri veya konukları kamuya açık tahtalarına davet etmelerine izin verdiğini ancak şimdi, genel profil bilgileri için sorgulama yapan kullanıcıların/hizmetlerin kimlik doğrulamasını yapmalarını sağladıklarını belirtti.
Şirket ayrıca, “Hacker, yalnızca zaten kamuya açık olan Trello kullanıcı profil bilgilerini elde etti ve bu bilgileri hacker başka bir kaynaktan elde ettiği e-posta adresleri ile birleştirdi” dedi ve “Trello hesabınızla ilgili yapmanız gereken bir işlem yok, ancak Trello gizlilik ayarlarınızı gözden geçirerek kamuya açık olan herhangi bir şeyin kamuya açık olmasını istemediğinizden emin olun” diye ekledi. Kullanıcılara ayrıca, hesapları için güçlü ve benzersiz bir şifre kullanmalarını ve iki faktörlü kimlik doğrulamayı etkinleştirmelerini önerdi.