Dziś rano osoby, które zapisały swój adres email w serwisie Have I Been Pwned, mogły się mocno zdenerwować. Rolę porannej kawy zastąpiła wiadomość email z informacją o wycieku danych z serwisu Trello. Czy jest się czego obawiać?

Have I Been Pwned to powstała w 2013 roku witryna, która zajmuje się zbieraniem informacji na temat wycieków danych. Stworzył ją pracujący dla Microsoftu Troy Hunt. Strona powstała po dużym wycieku Adobe i jest dostępna za darmo dla każdego. Dzięki niej można szybko ocenić zagrożenie, jeśli nasze konto zostało narażone na jakieś ryzyko z powodu naruszenia bezpieczeństwa konta online. Od jakiegoś czasu strona posiada funkcję powiadomień, dzięki której otrzymamy wiadomość, gdy nasz adres email znajdzie się publicznie w dostępnej bazie danych.

Trello to popularna aplikacja internetowa, która służy do zarządzania tablicami kanban. Została stworzona w 2011 roku przez dwójkę programistów: Joela Spolsky’ego i Michaela Pryora. W styczniu 2017 roku ogłoszono, że Atlassian kupiło Trello za 425 milionów dolarów. Oprogramowanie jest obecnie zarządzane i rozwijane przez Trello Enterprise – jednostkę pomocniczą firmy Atlassian.

ALAB z ogromnym problemem! Doszło do wycieku danych pacjentów

Wyciek w Trello

O wycieku danych z Trello dowiedzieliśmy się w momencie, gdy zostały one wystawione na sprzedaż na jednym z popularnych hakerskich forum dyskusyjnych. Wyciek dotyczy 15 111 945 kont i obejmuje adresy e-mail, imiona i nazwiska, nazwy użytkowników. Nie ma na tej liście haseł, ale to nie znaczy wcale, że wyciek jest mniej niebezpieczny.

Wciąż jest to poważne naruszenie bezpieczeństwa, ponieważ adresy e-mail mogą być łączone z innymi wyciekami, w których pojawiły się Wasze hasła. Przypominam więc o używaniu różnych haseł dla różnych serwisów. Pozyskane adresy e-mail i nazwy użytkowników mogą zostać użyte także do dalszych ataków phisingowych.

interfejs trello

Trello poinformowało, że nie doszło do nieautoryzowanego dostępu. Dane, które teraz ktoś próbuje sprzedać, miały być zebrane przez porównanie adresów e-mail z poprzednich wycieków z profilami w Trello (w tej chwili o charakterze publicznym). Trello pokazuje nam wtedy wyświetlaną nazwę, która często jest imieniem i nazwiskiem.

Ogromny wyciek loginów i haseł z polskich serwisów internetowych

Mimo obietnic Trello zachęcam wszystkich posiadaczy kont w tym serwisie o zachowanie szczególnej ostrożności w komunikacji z serwisem, zmianę haseł w Trello oraz wszędzie tam, gdzie mieliśmy takie same jak w narzędziu Atlassiana i zaprzestanie tego procederu. Warto do każdego serwisu mieć osobne hasło.