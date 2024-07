De samenwerktool Trello is gehackt. De software, waarmee je een soort Kanban-borden kunt maken, was in januari gehackt, maar nu e-mailadressen zijn deze week allemaal online gezet.

Onbeveiligde API

De reden achter het hack is een onbeveiligde API. Een kwalijke zaak, want Trello is niet zomaar een kleine tool. Het heeft vele miljoenen gebruikers en hangt onder Atlassian, wat ook niet de kleinste organisatie is. Personen gebruiken het om lijstjes in te maken: van een boodschappenlijst tot een bucketlist, terwijl bedrijven het gebruiken om projectmanagement te doen of te laten zien wie waarmee bezig is.

Een handige tool, maar ook een onveilige, zo blijkt nu. 15 miljoen e-mailadressen zijn op straat komen te liggen. In eerste instantie werden ze te koop aangeboden op het darkweb, maar nu zijn ze allemaal online te vinden. Om precies te zijn: 15.115.516 stuks. Stuk voor stuk e-mailadressen waarover Atlassian niks heeft gezegd toen ze werden gestolen. Opmerkelijk, want e-mailadressen zijn in tegenstelling tot wat andere profielgegevens niet openbaar. De mensen wiens mailadres nu op straat ligt hebben dus zeker wel recht op uitleg.

Gegevens Trello op straat

De hacker zou contact hebben gelegd met BleepingComputer en laten weten dat het door de REST API kwam. Een API is een stukje software dat ontwikkelaars kunnen gebruiken om iets te ontsluiten in hun apps. Deze specifieke API liet ontwikkelaars openbare informatie oproepen over profielen op Trello. De hacker hoefde alleen maar een lijst te maken met e-mailadressen, deze door de API laten lezen en zo konden ze zien welke mailadressen een profiel hebben. Helemaal een hack is het dus niet in de zin van een inbraak in beveiligde systemen van Atlassian, maar het is wel degelijk een manier om aan informatie te komen die niet openbaar zou moeten zijn. Je kunt de mailadressen nu kpen voor 2,32 dollar op het hackerforum Breached.

Misschien denk je nu: ach, een mailadres, wat zou het? Maar juist mailadressen worden regelmatig gebruikt voor phishing-aanvallen en je zal maar net een hacker treffen die een echt goede phishingmail maakt waar je intrapt. Je vult misschien nog meer gegevens in en bent dan echt ver van huis. Of je mailadres wordt op de een of andere manier gebruikt om mensen om je heen voor de gek te houden. Er kunnen veel mogelijkheden zijn. Denk bijvoorbeeld ook aan mensen die anoniem op social media posten, maar die je nu op basis van hun mailadres kunt ontmaskeren.

Wat betreft Trello zelf: het maakt gebruik van tweefactorauthenticatie, dus het is aan te raden dit zo spoedig mogelijk in te schakelen, naast uiteraard het gebruiken van een ingewikkelder mailadres dan Blink182!.