News Datenleck: Millionen von Trello-Nutzerdaten neu bei Have I Been Pwned

[coffee4free]

Artikel-Update: Einem Bericht von BleepingComputer zufolge hatte der Angreifer wohl einen frei zugänglichen API-Endpunkt missbraucht, um ohnehin öffentlich verfügbare Profilinformationen von Trello-Nutzern unter Einsatz einer Liste bekannter E-Mail-Adressen automatisiert abzugreifen. Eine Authentifizierung sei dafür nicht erforderlich gewesen, sehr wohl habe es aber je IP-Adresse eine Limitierung der Anzahl erlaubter API-Abfragen gegeben. Unter Einsatz von Proxy-Servern habe der Angreifer diese Einschränkung jedoch umgehen können.

Inzwischen habe Trello diesbezüglich nachgebessert, für die Verwendung des besagten API-Endpunktes sei nun eine Authentifizierung erforderlich. Da dafür die Erstellung eines kostenlosen Trello-Accounts ausreicht, sind die Daten im Grunde weiterhin für jedermann zugänglich. Die Authentifizierung gibt Trello aber immerhin die Möglichkeit, einem erneuten Missbrauch in Form massenhafter Abfragen vorzubeugen. „Wir werden die Nutzung der API weiterhin überwachen und alle notwendigen Maßnahmen ergreifen“, erklärt der Anbieter diesbezüglich in einer Stellungnahme.

 

[gustlegga]

Ich wollts beim ursprünglichen Artikel ja schon beinah schreiben:

„Unsere Ermittlungen dauern an, aber wir haben keine Hinweise darauf gefunden, dass diese Daten durch unbefugten Zugriff gesammelt wurden“

Übersetzt: "Nein wir wurden nicht gehackt, wir haben die Haustüre selber sperrangelweit offen gelassen"

 

[JeanLuc Bizarre]

zufolge hatte der Angreifer wohl einen frei zugänglichen API-Endpunkt missbraucht, um ohnehin öffentlich verfügbare Profilinformationen von Trello-Nutzern unter Einsatz einer Liste bekannter E-Mail-Adressen automatisiert abzugreifen

Hacking ist in sooo vielen Fällen so dermaßen simpel. Wahnsinn.
Man muss glaub ich in vielen Fällen einfach mal nur 'irgendwas' versuchen. Und mit ein bisschen Glück (und viel Verständnis über den grundsätzlichen Aufbau von Web-Infrastruktur) bringt man plötzlich den 'Boris Becker-Spruch' in der AOL-Werbung...

 

[Kuristina]

Weiß nicht, wo das Hacking sein soll.

ohnehin öffentlich verfügbare Profilinformationen

Der ist allenfalls ein fauler Hund, weil er nicht jedes Mal copy paste gemacht hat. 🙂

 

[PxHntr]

Da es am iPhone wenig Aufwand bedeutet, habe ich mir mittlerweile angewöhnt für jeden Dienst eine eigene Mailadresse zu erstellen. Auch verwende ich beim bezahlen nie eine Kreditkarte oder Bankeinzug. Ausschließlich Paypal. SMS Verifikationen benutze ich auch nicht mehr, Zwei Faktor läuft über den Passwortmanager. Und ich bestelle physische Dinge ausschließlich an meine Packstation um die Ecke. So bilde ich mir zumindest ein, bei den Datenleaks so wenig wie möglich private Daten zu verlieren und kann Mailadressen stilllegen um nicht genervt zu werden.

Leider gibt’s noch n paar alte Accounts, da muss ich mich mal aufraffen und das alles noch ändern. Aber sonst fahr ich bisher mit meiner Strategie recht gut.

 

[Shrekmachine]

Ich habe meine Konten bei Trello gelöscht. Sorry, aber solange ich nicht gezwungen bin, vermeide ich Amateure.

 

[gustlegga]

So bilde ich mir zumindest ein, bei den Datenleaks so wenig wie möglich private Daten zu verlieren und kann Mailadressen stilllegen um nicht genervt zu werden.

Datensparsamkeit ist ja schon mal ein guter Ansatz. Ich machs ja ähnlich (auch wenn ohne Apple-Dingens)
Vieles davon ist aber dann andersrum im geschäftlichen Umfeld oft schwierig umzusetzen.
Und wenn dann zB eine Behörden-SSD die eigentlich zur Vernichtung vorgesehen ist, plötzlich ungelöscht(!) auf ebay auftaucht, wie vor einigen Jahren in einer c´t Uplink Folge besprochen wurde, oder bei uns in Österreich bei der GiS (ählich der GEZ in Deutschland) wieder das Scheunentor offensteht und Millionen Meldedatensätze der Bürger kompromitiert sind hilfts halt auch nicht viel, denn die haben noch ganz andere Daten von dir als irgend ein Onlinedienst/Shop.

 

[FrAGgi]

Hacking ist in sooo vielen Fällen so dermaßen simpel. Wahnsinn.

Das war nur kein "Hacking".

 

[Samuelz]

Wenn es geht, nutzt immer "Trash" Mails zum Registrieren. Fantasienamen und generierte Random Passwords sind auch zu empfehlen.

 

[gustlegga]

nutzt immer "Trash" Mails zum Registrieren

This.
Und so SMS-Empfangswebseiten wenn einem Dienst/Firma XYZ zB nur mal einen einmaligen Aktivierungscode per SMS zuschicken will. Muss man sich halt bissl durchschauen welche noch funktionieren bzw. akzeptiert werden. Hab selber schon lange keinen mehr gebraucht, deswegen kann ich da jetzt keinen explizit empfehlen.

 

[JeanLuc Bizarre]

Das war nur kein "Hacking".

Natürlich ist das Hacking. Ich nutze eine Schwachstelle im System dazu aus, um das System dazu zu bewegen, Dinge zu tun (in diesem Fall: mir massenhaft Informationen zu geben) die es eigentlich nicht tun sollte.
Ob das nun anspruchsvoll oder super simple war, ist dabei erste einmal völlig unerheblich.

 

[FrAGgi]

Ich nutze eine Schwachstelle im System dazu aus (...)

Welche Schwachstelle? Der API-Endpunkt hat wohl das getan wofür er gemacht war. Es wurden dadurch keine weiteren Daten abgegriffen. Der massenweise Abgleich der ohnehin öffentlichen Daten mit einer existierenden Datenbank war hier ja das eigentliche Problem.
Den API-Endpunkt zu nutzen ist kein Hacking.
Wenn du die Nutzung von Proxies zur Umgehung des API Limits zu Hacking packst, dann ok.

 

[JeanLuc Bizarre]

Welche Schwachstelle?

Das keine Authentifizierung notwendig war um die Daten massenhaft abzugreifen, ist ja wohl eine Musterdefinition von 'Schwachstelle'. Vor allem wenn das Anfragenlimit pro IP-Adresse nahe legt, dass ein massenhaftes crawlen unerwünscht ist.

Wenn du die Nutzung von Proxies zur Umgehung des API Limits zu Hacking packst, dann ok.

Genau. Ist jetzt wirklich keine Rocket-Science. Aber das ist auch egal.

 

[DarkSoul]

Das keine Authentifizierung notwendig war um die Daten massenhaft abzugreifen, ist ja wohl eine Musterdefinition von 'Schwachstelle'.

Nein, ist es nicht. Es handelt sich um öffentliche Daten, das ist per Definition keine Schwachstelle völlig egal ob man das nun durch halbgare Maßnahmen versucht zu "schützen" oder nicht.

Die eigentliche Frage ist, warum diese Daten öffentlich waren? War das wirklich notwendig? So was braucht eine Berechtigungsverwaltung (über den offensichtlich neu eingeführten Account), damit man einstellen kann, wer die Daten sieht und wer nicht.

 

[Engaged]

Jetzt ist man aus dem in Windows XP Zeitalter raus, und muss nicht mehr regelmäßig neu aufsetzen, und sich Zuhause eigentlich kaum noch Sorgen machen, dafür gehen die Daten jetzt woanders nonstop flöten. 🙄

 

[Informant777]

ich will nicht wissen wieviel online Läden Daten-Lecks haben und wo Daten schon überall sind. Das was öffentlich wird ist mit hoher Wahrscheinlichkeit die Spitze vom Eisberg. und da mache ich mir weniger Gedanken von Techfirmen wie Amazon, PayPal und Co. als von den kleinen Modehäusern und "Kleinkram online Shops"

Die Unternehmen müssen per Gesetz jeden Nutzer bei einem Hack informieren, sonst drohen sehr hohe Strafgelder.

 

[Cool Master]

ich will nicht wissen wieviel online Läden Daten-Lecks haben und wo Daten schon überall sind.

Bin bei div. Seiten registriert und alle haben das gleiche Muster: name-des-shops@meine-domain.de

Laut Have I Been Pwnd bis jetzt genau 0 Lecks, auch bei dem Trello Leak bin ich nicht dabei.