Trello e il leak di dati… che forse non lo è
Trello, società affiliata di Atlassian e fornitore di strumenti per la gestione dei progetti in team, sarebbe stato violato con conseguente esposizione dei dati personali di milioni di utenti. La notizia è stata condivisa ieri su X dai cyber-vigilanti HackManac e Have I Been Pwned.
Il post sul dark web, citato da entrambi, è attribuito a un hacker che si fa chiamare Emo. “La scorsa settimana Trello ha subito lo scraping di 15 milioni di record, che sono poi stati messi in vendita su un forum di hacker”, ha scritto Have I Been Pwned. “I dati includevano nomi e cognomi, nomi utente e indirizzi e-mail provenienti da precedenti violazioni e utilizzati per enumerare i profili di Trello”. “Il criminale informatico, che si fa chiamare Emo, sostiene che il database include e-mail, nomi utente, nomi completi e altre informazioni sugli account”, ha confermato HackManac. Il post sul dark web condiviso il 16 gennaio su X da Emo parla più precisamente di 15.115.516 record; il criminale informatico si offre di vendere una copia dei dati e ne ha pubblicato un campione.
Trello Allegedly Breached: Database of 15,115,516 User Records Up for Sale
— HackManac (@H4ckManac) January 17, 2024
The cybercriminal, who goes by the name 'emo,' claims that the database includes data such as emails, usernames, full names, and other account information.#databreach #CTI #DarkWeb pic.twitter.com/Fim9jOwUzn
Al momento in cui scriviamo, Trello non ha ancora confermato o smentito il presunto incidente. Il suo sito web indica che “tutti i sistemi sono operativi” e dichiara che “non sono stati segnalati incidenti” né oggi né ieri (lo stesso vale per il suo profilo su X). Atlassian è comunque a conoscenza di quanto riportato da Emo. “La nostra indagine è in corso, anche se non abbiamo trovato prove a sostegno del fatto che questi dati siano stati raccolti da un accesso non autorizzato. La sicurezza e la privacy dei dati dei nostri utenti sono la nostra massima priorità e continuiamo a monitorare attentamente Trello per individuare eventuali attività insolite”.
Non è comunque la prima volta che Trello si trova ad affrontare problemi di sicurezza. Nel 2020 erano emerse notizie di natura simile quando Craig Jones, direttore delle operazioni di sicurezza informatica di Sophos, aveva scoperto dati di identificazione personale (PII) esposti attraverso le bacheche pubbliche di Trello. Jones ha scoperto che la configurazione predefinita delle bacheche di Trello è impostata su “privato”, ma molti utenti, inconsapevolmente o intenzionalmente, modificano queste impostazioni in “pubblico”. Una volta reso pubblico, il contenuto della bacheca Trello di un utente diventa accessibile a chiunque, compresi i motori di ricerca come Google, che indicizzano le bacheche Trello pubbliche, rendendo le informazioni facilmente reperibili. A quanto pare, Emo avrebbe interpellato proprio questa funzione usando un database di indirizzi email provenienti da altri leak e così si spiegherebbe anche la negazione di un attacco subito da parte di Trello e Atlassian, sebbene la supposta quantità di record sottratti rimanga notevole.
Ma non è finita qui per Atlassian. Più di 600 indirizzi IP stanno lanciando migliaia di tentativi di sfruttare una vulnerabilità critica, identificata come CVE-2023-22527, nelle versioni obsolete di Atlassian Confluence Data Center e Server. Questa vulnerabilità può consentire attacchi di esecuzione remota del codice (RCE) non autenticati. Atlassian ha divulgato la vulnerabilità la scorsa settimana assegnandole un punteggio CVSS di 10 su 10. La vulnerabilità colpisce le versioni di Confluence Data Center e Server 8 rilasciate prima del 5 dicembre 2023 e release fino alla 8.4.5.
Atlassian ha consigliato ai clienti di aggiornare immediatamente alle versioni più recenti per correggere la falla, ma sembra che molti non abbiano seguito questo consiglio. Alcuni giorni dopo, più di 11.000 istanze di Confluence risultano infatti ancora esposte su Internet, con attacchi RCE in corso da parte di criminali. L’organizzazione per la sicurezza senza scopo di lucro Shadowserver ha registrato oltre 39.000 tentativi di sfruttare la vulnerabilità dal 19 gennaio, con oltre 600 indirizzi IP coinvolti. Anche GreyNoise ha segnalato tentativi di sfruttamento RCE. Atlassian non ha ancora aggiornato l’avviso di sicurezza relativo alla CVE-2023-22527 per indicare eventuali casi di sfruttamento attivo di Confluence Server.
Ken Dunham, direttore delle minacce presso la Threat Research Unit di Qualys, ha avvertito che le organizzazioni con istanze vulnerabili di Atlassian dovrebbero considerarle compromesse e adottare misure precauzionali, inclusi l’aggiornamento alle versioni supportate, la caccia alle minacce e la revisione dei log.