15 juta data pelanggan Trello dijual di dark web

Bagi kalian pengguna Trello, kalian tampaknya harus berhati-hati lagi nih. Soalnya, baru-baru ini sekelompok peretas mengatakan bahwa mereka telah mengantongi lebih dari 15 juta data pengguna akun Trello.

Kasus peretasan ini terjadi pada awal Januari 2024 lalu. Kala itu, BleepingComputer melaporkan bahwa aktor ancaman yang dikenal sebagai 'emo' menjual profil untuk 15.115.516 anggota Trello di forum peretasan populer.

Meskipun hampir semua data dalam profil ini merupakan informasi publik, setiap profil juga berisi alamat email non-publik yang terkait dengan akun tersebut. Kasus peretasan ini juga dilaporkan terjadi dengan memanfaatkan celah API yang memang biasa menjadi titik rentan celah keamanan.

Dilansir dari laman BleepingComputer (18/7), Atlassian yang merupakan pemilik Trello, tidak mengkonfirmasi pada saat itu bagaimana data tersebut dicuri. Namun emo mengatakan bahwa data tersebut dikumpulkan menggunakan REST API yang tidak aman yang memungkinkan pengembang untuk meminta informasi publik tentang profil berdasarkan ID Trello, nama pengguna, atau alamat email pengguna.

emo membuat daftar berisi 500 juta alamat email dan memasukkannya ke dalam API untuk menentukan apakah alamat tersebut terhubung ke akun Trello. Daftar tersebut kemudian digabungkan dengan informasi akun yang dikembalikan untuk membuat profil anggota bagi lebih dari 15 juta pengguna.

Dan baru-baru ini, pihak peretas tersebut membagikan seluruh daftar 15.115.516 profil di forum peretasan Breached untuk delapan kredit situs (senilai USD2,32). "Trello memiliki titik akhir API terbuka yang memungkinkan setiap pengguna yang tidak diautentikasi untuk memetakan alamat email ke akun Trello," jelas emo dalam posting forum tersebut.

"Awalnya saya hanya akan memberi makan email titik akhir dari basis data 'com' (OGU, RF, Breached, dll.) tetapi saya memutuskan untuk terus menggunakan email sampai saya bosan." Data yang bocor mencakup alamat email dan informasi akun publik Trello, termasuk nama lengkap pengguna.

Informasi ini dapat digunakan dalam serangan phishing yang ditargetkan untuk mencuri informasi yang lebih sensitif, seperti kata sandi. emo juga mengatakan data tersebut dapat digunakan untuk doxxing, yang memungkinkan pelaku ancaman untuk menghubungkan alamat email ke orang-orang dan alias mereka.

Setelah data ini dirilis, barulah Atlassian mengkonfirmasi bahwa informasi tersebut benar adanya dan dikumpulkan melalui Trello REST API yang diamankan pada bulan Januari. API yang tidak aman telah menjadi target populer bagi pelaku ancaman, yang menyalahgunakannya untuk menggabungkan informasi non-publik, seperti alamat email dan nomor telepon, dengan profil publik.

Pada tahun 2021, pelaku ancaman menyalahgunakan API untuk menghubungkan nomor telepon ke akun Facebook , membuat profil untuk 533 juta pengguna. Pada tahun 2022, Twitter mengalami pelanggaran serupa ketika pelaku ancaman menyalahgunakan API yang tidak aman untuk menghubungkan nomor telepon dan alamat email ke jutaan pengguna.