Через открытый API Trello 15 млн аккаунтов связали с email-адресами
На хакерском форуме продают данные 15 115 516 пользователей Trello. Хотя почти все данные в дампе общедоступные, это не касается адресов электронной почты, связанных с профилями пользователей. Оказалось, что хакер использовал общедоступный API Trello для связывания почтовых адресов с профилями людей.
Так, Trello предоставляет REST API, который позволяет разработчикам интегрировать сервис в свои приложения. И один из эндпоинтов этого API позволяет запрашивать публичную информацию о профиле человека на основе Trello ID или имени пользователя.
Оказалось, что можно запросить эндпоинт API, используя адрес электронной почты. И, если существует связанный с ним аккаунт, получить информацию об этом публичном профиле.
С тех пор API был усилен и теперь требует аутентификации, но он по-прежнему доступен любому, кто создаст бесплатный аккаунт. Представители Trello не намерены дополнительно защитить проблемный API.
