Une faille de l'API de Trello a permis la divulgation de millions de données utilisateurs © Mojahid Mottakin / Shutterstock
Une faille de l'API de Trello a permis la divulgation de millions de données utilisateurs © Mojahid Mottakin / Shutterstock

Un pirate informatique a publié sur BreachForums les données personnelles de plus de 15 millions d'utilisateurs de Trello. Ces informations, volées en janvier 2024 grâce à une API non sécurisée, comprennent de nombreux détails sensibles.

L'outil de gestion de projet Trello, utilisé par des millions de personnes à travers le monde, vient de subir une fuite de données massive. Un hacker, connu sous le pseudonyme « Emo », a mis en ligne 21,1 Go d'informations sensibles sur la plateforme BreachForums.

Cette violation de données, survenue initialement en janvier 2024, expose les détails personnels de plus de 15 millions d'utilisateurs. Les données dérobées comprennent des adresses mail, des noms complets, des identifiants d'utilisateurs et des URL de profil. Autant dire qu'Emo ne s'est pas mouché du coude.

Une API mal sécurisée à l'origine de la fuite

Les API (interfaces de programmation d'applications) sont des outils essentiels dans le développement logiciel moderne. Elles permettent à différents systèmes de communiquer entre eux et d'échanger des données. Dans le cas de Trello, l'API en question était censée faciliter l'invitation de nouveaux membres à des tableaux publics.

Malheureusement, cette API présentait une faille de sécurité majeure. Elle permettait à n'importe qui, sans authentification, d'associer une adresse mail à un compte Trello. Le pirate a exploité cette vulnérabilité en utilisant une liste de 500 millions d'adresses mail, qu'il a confrontée à l'API pour identifier les comptes Trello correspondants.

Cette méthode lui a permis de récupérer les informations de plus de 15 millions d'utilisateurs. Atlassian, la société mère de Trello, a confirmé l'incident et a depuis corrigé la faille. Désormais, seuls les utilisateurs authentifiés peuvent accéder aux informations publiques des profils grâce à l'API.

15 millions d'utilisateurs de Trello sont touchés par cette fuite © DC Studio / Shutterstock
15 millions d'utilisateurs de Trello sont touchés par cette fuite © DC Studio / Shutterstock

L'API défaillante, un scénario qui se répète, des utilisateurs inquiets

Ce type de cyberattaque n'est malheureusement pas un cas isolé. En 2021, Facebook a subi une violation similaire, exposant les données de 533 millions d'utilisateurs. En 2022, au temps où X.com s'appelait encore Twitter, des millions de numéros de téléphone et d'adresses mail ont été compromis par le même type de faille.

Pour les utilisateurs de Trello qui s'inquiètent de la sécurité de leurs données, voici quelques conseils. La priorité des priorités réside dans le changement de votre mot de passe Trello, sans oublier celui de l'adresse mail associée à votre compte. Il ne faudrait pas que les hackers fassent d'une pierre deux coups !

Ensuite, pour ralentir leur travail de sape ou les décourager, activez l'authentification à deux facteurs si ce n'est pas déjà fait. Profitez-en pour choisir des mots de passe robustes, et pourquoi pas tester l'un des gestionnaires de mots de passe que Clubic a testés pour vous. Votre compte ainsi sécurisé, vous allez pouvoir concentrer votre attention sur la surveillance. Restez vigilant face aux e-mails de phishing qui pourraient exploiter ces informations et gardez un œil attentif sur vos comptes pour détecter toute activité suspecte.

Si vous pensez que vos données ont été compromises, contactez le support de Trello. Vous serez guidé sur les mesures à prendre pour sécuriser votre compte.

  • Logiciel de gestion de tâches très complet
  • La fonction d'automatisation Butler intégrée
  • Une version gratuite
9 / 10

Source : HackRead