Proponha uma correção, faça uma sugestão
Trello com problemas de segurança! Dados de mais de 15 milhões de contas roubados
O Trello é o mais recente serviço da Internet a ter problemas de segurança. Este sofreu um roubo de dados em janeiro de 2024 que afetou mais de 15 milhões de contas. Bastou o acesso a uma API insegura do Trello para comprometer milhões de endereços de e-mail e informações publicamente disponíveis dos utilizadores.
Trello com problemas de segurança
Em janeiro de 2024, um hacker com o pseudónimo ‘emo’ afirmou ter recolhido 15.115.516 endereços de e-mail utilizados nas contas do conhecido serviço Trello. Para recolher estas informações pessoais, introduziu mais de 500 milhões de endereços de e-mail numa API insegura.
As informações roubadas neste ataque incluíam endereços de e-mail, informações públicas da conta Trello dos utilizadores e nomes completos. Cerca de seis meses depois, o mesmo hacker que fez este roubo começou a vender esta base de dados num fórum de dedicado, chamado Breached, por apenas 8 créditos de site (cerca de 2,32 dólares).
A Trello alegou inicialmente que não houve nenhuma violação e disse que o hacker tinha criado a base de dados a partir de informações públicas. No entanto, admitiu posteriormente que o incidente foi causado por uma API insegura. A Trello afirmou que graças à sua API REST, os utilizadores podiam ser convidados com informações publicamente disponíveis através dos seus endereços de e-mail.
Dados de 15 milhões de contas roubados
No entanto, e como resultado da utilização indevida desta API, foi feita uma alteração para evitar que utilizadores não verificados solicitem informações públicas de outros utilizadores. Apenas os utilizadores verificados poderão solicitar informações de perfil público de outro utilizador através desta.
Embora a recolha destas informações públicas possa não parecer perigosa à primeira vista, podem ser utilizadas para criar e-mails de phishing convincentes. Estes ataques podem levar a violações de segurança devastadoras, como o roubo de palavras-passe, a distribuição de malware e muito mais.
O Trello é uma plataforma de gestão de projetos frequentemente utilizada pelas empresas. Permite aos utilizadores organizar as suas tarefas em colunas ou cartões. A plataforma afirma ter mais de 40 milhões de utilizadores ativos.
Loading ...
Ajudem-me a perceber o seguinte:
Qual é a consequência para a empresa que foi “hackeada”?
Depende. Pode ser financeira se perder info sobre produtos em desenvolvimento, pode ser legal se essa perda influenciar terceiros e a focar demonstrado que houve negligência na segurança digital, pode ser legal se o roubo envolver dados pessoais e ficar demonstrado que houve negligência. Mas é sempre muito dificil de provar isto porque ma maioria das vezes são erros humanos menores feitos por colaboradores sem noção e que são muito habilmente aproveitados por hackers.
Nenhuma, os utilizadores aceitaram os ToS e assume-se que existe compromisso por parte da empresa em garantir a segurança dos dados. Nestes casos as empresas apenas expressam “Lamentamos o sucedido” e seguem jogo.
Tiveste o escândalo do Cambrige Analytica que não teve qualquer repercussão real ao Facebook que só teve de pagar 5 biliões de multa e continua no “business as usual”
No fundo nem existe interesse em responsabilizar, pois qualquer empresa está vulnerável desde o momento em que permite qualquer ligação da WAN aos seus serviços, facilidade de acesso às API sem as devidas diligências, então não convém levantarem alarido ou fazer grandes condenações porque hoje é a Trello amanhã pode ser outra empresa qualquer, e espera-se a mesma reação de não haver consequências.
Eu tenho dúvidas que as empresas não estejam sensíveis a este problema das falhas de segurança. Nem acredito que pensem que isto só acontece aos outros.
O facto de não existirem sistemas totalmente seguros, assusta. Até chego a pensar por exemplo, no chat gpt plus.
Aqui usamos este serviço para o nosso dia-a-dia de trabalho como auxílio ou complemento de serviços. Naturalmente existe informação da nossa parte que tem de ser passada para o chat gpt para obter resultados correctos.
Estão a ver o cenário preocupante? E quem diz isto, diz outros serviços online.
Por uma questão de principio já tenho o cuidado de ter informações distintas em cada serviço online com passwords medonhas impossíveis de decorar.
Guardo e faço a gestão pelo keepassxc e sempre que possível subscrevo os serviços de dupla autenticação, preferencialmente por um autenticador. Mas, o facto de tomarmos estes cuidados não garantem que o site seja atacado, causa uma sensação de impotência.
Não existe sistemas totalmente seguros mesmo injetando milhares e milhares de € em segurança se existir interesse do outro lado eles conseguem furar mais dia menos dia.
Quando dou os meus dados online já sei que mais dia menos dia vão ser hackeados, até os do Estado Português são hackeado e já andam por aí.
No limite pode haver perda de confiança por parte dos utilizadores e estes podem migrar para plataformas concorrentes