Datenleck: Millionen von Trello-Nutzerdaten neu bei Have I Been Pwned
Bei Trello gab es offenbar ein Datenleck, dessen sich ein böswilliger Akteur bedient hat. Daten von mehr als 15 Millionen Nutzern des Projektmanagement-Tools sind kürzlich in einem Hackerforum aufgetaucht. Erst gestern wurde die Datenbank von Have I Been Pwned entsprechend erweitert.
Trello – das digitale Kanban-Board
Bei Trello handelt es sich um ein weitverbreitetes Online-Tool zur Aufgabenverwaltung. Gegründet wurde der Dienst im Jahr 2011, seit 2017 gehört er zum australischen Softwarekonzern Atlassian. Trello basiert auf der sogenannten Kanban-Methode, die in vielen Entwicklungsteams für die Planung und Abwicklung von Projekten zum Einsatz kommt. Der Nutzer arbeitet dabei mit sogenannten Boards, auf denen einzelne Aufgaben durch Karten dargestellt und je nach Bearbeitungszustand einer von mehreren Listen zugeordnet werden.
Mehr als 15 Millionen Trello-Datensätze
Am 16. Januar wurden in einem Hackerforum persönliche Daten von Millionen von Trello-Nutzern zum Verkauf angeboten. Wie einem von dem Nutzer HackManac auf X geteilten Screenshot von dem Forenbeitrag zu entnehmen ist, behauptete der Verkäufer der Daten, über 15.115.516 eindeutige Datensätze zu verfügen – darunter vollständige Namen, E-Mail-Adressen, Nutzernamen und weitere Account-Informationen von Trello-Nutzern.
Angeblich wollte der unter dem Pseudonym „emo“ auftretende Akteur nur eine einzelne Kopie der Datenbank verkaufen. Interessenten forderte er auf, sich direkt im Forum oder per Telegram bei ihm zu melden. Dass er tatsächlich über die genannten Informationen verfügt, versuchte er durch Veröffentlichung einer Stichprobe zu belegen.
Daten waren angeblich öffentlich zugänglich
Inzwischen scheinen die zum Verkauf angebotenen Daten aber vollständig veröffentlicht worden zu sein. Darauf deutet eine gestern via Mastodon geteilte Ankündigung von Have I Been Pwned (HIBP) hin. Der Dienst hat die Informationen in seine Datenbank übernommen, sodass Anwender auf der HIBP-Webseite unter Angabe der E-Mail-Adresse ihres Trello-Accounts nun prüfen können, ob sie betroffen sind.
Erst vor wenigen Tagen hatte Have I Been Pwned seine Datenbank um Millionen neuer Zugangsdaten erweitert, die in einem Hackerforum aufgetaucht waren. Konkret ging es dabei um mehr als 70 Millionen eindeutige E-Mail-Adressen und rund 100 Millionen eindeutige Passwörter, die zuvor per Malware eingesammelt wurden.
Der Angreifer habe aus früheren Datenlecks bekannte E-Mail-Adressen missbraucht, um damit von einer öffentlich zugänglichen Datenquelle weitere Informationen wie Namen und Nutzerkennungen abzurufen, heißt es auf der Webseite von Have I Been Pwned bezüglich der Trello-Daten. Das erklärt auch, warum sämtliche der in dem Datensatz enthaltenen E-Mail-Adressen schon zuvor in der HIBP-Datenbank enthalten waren, wie es aus der Ankündigung auf Mastodon hervorgeht. Warum die abgegriffenen Daten überhaupt öffentlich zugänglich waren, ist jedoch noch unklar.
Keine Hinweise auf unbefugten Zugriff
Gegenüber The Cyber Express soll ein Trello-Sprecher erklärt haben, der Anbieter sei über den angeblichen Datenabfluss informiert und habe bereits Untersuchungen eingeleitet. „Unsere Ermittlungen dauern an, aber wir haben keine Hinweise darauf gefunden, dass diese Daten durch unbefugten Zugriff gesammelt wurden“, so die Aussage des Sprechers. Trello überwache seine eigenen Systeme kontinuierlich auf verdächtige Aktivitäten, um die Sicherheit und den Datenschutz des Dienstes zu gewährleisten. Anwendern wird ebenfalls empfohlen, bezüglich verdächtiger Aktivitäten wachsam zu bleiben und Auffälligkeiten gegebenenfalls zu melden.
Einem Bericht von BleepingComputer zufolge hatte der Angreifer wohl einen frei zugänglichen API-Endpunkt missbraucht, um ohnehin öffentlich verfügbare Profilinformationen von Trello-Nutzern unter Einsatz einer Liste bekannter E-Mail-Adressen automatisiert abzugreifen. Eine Authentifizierung sei dafür nicht erforderlich gewesen, sehr wohl habe es aber je IP-Adresse eine Limitierung der Anzahl erlaubter API-Abfragen gegeben. Unter Einsatz von Proxy-Servern habe der Angreifer diese Einschränkung jedoch umgehen können.
Inzwischen habe Trello diesbezüglich nachgebessert, für die Verwendung des besagten API-Endpunktes sei nun eine Authentifizierung erforderlich. Da dafür die Erstellung eines kostenlosen Trello-Accounts ausreicht, sind die Daten im Grunde weiterhin für jedermann zugänglich. Die Authentifizierung gibt Trello aber immerhin die Möglichkeit, einem erneuten Missbrauch in Form massenhafter Abfragen vorzubeugen. „Wir werden die Nutzung der API weiterhin überwachen und alle notwendigen Maßnahmen ergreifen“, erklärt der Anbieter diesbezüglich in einer Stellungnahme.