Das weitverbreitete Projektmanagement-Tool Trello hat einen Breach zu beklagen. Wie 'Bleepingcomputer' berichtet, hat ein Cyberkrimineller über 15 Millionen mit Trello-Konten verknüpfte Namen und E-Mail-Adressen gestohlen und im Hackerforum 'Breached' veröffentlicht.

Der Cyberkriminelle selbst gab gegenüber dem US-Magazin an, die Daten über eine ungesicherte Rest-API angezapft zu haben. "Trello hatte einen offenen API-Endpunkt, der es auch jedem nicht authentifizierten Benutzer ermöglicht, eine E-Mail-Adresse einem Trello-Konto zuzuordnen", zitiert 'Bleepingcomputer' den Hacker.

Atlassian, das Unternehmen hinter Trello, bestätigt die Angaben des Hackers. Ursprünglich hätten Trello-Benutzer über die Rest-API Mitglieder oder Gäste per E-Mail zu ihren öffentlichen Boards einladen können. Angesichts des Missbrauchs der API habe man entsprechende Änderungen vorgenommen, dass dies nicht mehr möglich sei. Und: "Wir werden die Nutzung der API weiterhin überwachen und alle notwendigen Massnahmen ergreifen", so Trello zu 'Bleepingcomputer'.

Die gestohlenen Trello-Daten könnten nun von anderen Cyberkriminellen für gezielte Phishing-Angriffe – zum Beispiel im Bereich Social Engineering – genutzt werden. Wer ein Trello-Konto nutzt(e), sollte bei E-Mails von unbekannten Absendern noch vorsichtiger sein als ohnehin schon.