Herkese açık Trello panolarıyla ilişkili yaklaşık 15 milyon isim, kullanıcı adı ve e-posta toplanıp Dark Web’de satışa sunuldu; bu da hesap ele geçirmelere ve hedef odaklı kimlik avı saldırılarına kapı açıyor. Araştırmacılar, Trello’nun ana şirketi Atlassian, kazıma saldırılarının tekrar gerçekleşmesini önlemeye yardımcı olmak için kritik bir API’de değişiklikler yaptığını ancak olaydaki sorumluluğunu küçümsediğini söylüyor.
Bir proje yönetimi ve işbirliği platformu olan Trello, farklı şirketler ve paydaşlar arasında daha kolay işbirliği sağlamak için “panolarını” (yani çalışma alanlarını) herkese açık olarak bulma olanağı sunar. Bir panonun yöneticisi, diğer kişileri e-posta yoluyla genel panolarına katılmaya davet edebilir ve bu davet özelliği bir REST API tarafından etkinleştirilir.
“Emo” adını kullanan girişimci bir siber saldırgan, bu API’yi bir tür iş mantığı saldırısı olarak manipüle edebildi; Birisi API’yi bir e-posta adresi kullanarak sorguladığında, bu e-postayla ilişkili tüm panoların genel profilleri döndürülür. Bu şekilde emo, 15 milyon Trello profilindeki (trello.com/ biçiminde mevcut olan) halka açık verileri toplamayı başardı.[username]emo, kullanıcı adlarını ve e-postaları bu şekilde ilişkilendirebildi).
Trello’nun Aşırı Paylaşım API’sini Düzeltme
Cequence Security’de ikamet eden hacker Jason Kent, “Bu tür saldırılar, saldırının işe yaradığı bilindikten sonra oldukça kolay bir şekilde oluşturulup gönderiliyor” diyor. “Tehdit aktörü bilgi edinmek için çeşitli sistemleri test edecek ve bir model ortaya çıktığında bunu kullanabilecek. üretken yapay zeka veya mevcut komut dosyalarıyla birkaç dakika içinde saldırı oluşturabilirsiniz. Yalnızca bir uç noktanın bir istek sonucunda veri sağladığını bulmaları ve ardından isteğin yeni veri almak için değiştirilip değiştirilemeyeceğini bulmaları gerekir. Buna Kutsal Olmayan Üçlü adını veriyoruz çünkü genellikle sahip olduklarının farkında olmadıkları bir API üzerindedir, kimlik doğrulama gerektirmez ve [it] genellikle hassas veriler içerir.”
Atlassian sözcüsü, dahili Trello sistemlerine yetkisiz erişim olmadığını belirtti ancak API’nin daha sıkı bir yapılandırmaya ihtiyaç duyduğunu da kabul etti.
Dark Reading’e şöyle açıklıyor: “Bu araştırmada ortaya çıkan API’nin kötüye kullanımı göz önüne alındığında, kimliği doğrulanmamış kullanıcıların/hizmetlerin başka bir kullanıcının genel bilgilerini e-posta yoluyla isteyememesi için API’de bir değişiklik yaptık.” “Kimliği doğrulanmış kullanıcılar, bu API’yi kullanarak başka bir kullanıcının profilinde herkese açık olan bilgileri talep etmeye devam edebilir. Bu değişiklik, kullanıcılarımız için ‘e-posta yoluyla genel kurul’a davet etme’ özelliğinin çalışır durumda tutulmasıyla API’nin kötüye kullanılmasının önlenmesi arasında bir denge kurar.”
“API kullanımını izlemeye ve gerekli önlemleri almaya devam edeceğiz” diye ekliyor.
Dark Reading tarafından yapılan hızlı bir kontrol, oturum açmamış kullanıcıların artık trello.com/ adresini görüntülemesinin engellendiğini gösterdi.[username] profiller.
Trello Veri Kazımasından Sorumlu Tutulmalı mı?
Atlassian sözcüsü, olayın yalnızca zaten kamuya açık olan bilgileri etkilediğini ifade etti.
Atlassian sözcüsü, “Kapsamlı bir soruşturmanın ardından … tüm kanıtlar, bir tehdit aktörünün önceden var olan bir e-posta adresi listesini halka açık Trello kullanıcı profilleriyle karşılaştırarak test ettiğine işaret ediyor” dedi. “Tehdit aktörü yalnızca halihazırda kamuya açık olan Trello kullanıcı profili bilgilerini elde etti ve bu bilgileri, tehdit aktörünün başka bir kaynaktan edindiği e-posta adresleriyle birleştirdi.”
Kent, tamamen yasal olsa da bunun biraz samimiyetsiz olduğunu belirtiyor. “Trello bir savunma olarak ‘bunların hepsi halka açık veriler’ diyor, ancak bahse girerim ki onların hüküm ve koşulları benim gelip kendi kullanımım için veri tabanlarının tamamını boşaltmama izin vermez. Ayrıca bahse girerim ki kullanıcılar Sistemlerin çoğu da bunun normal bir davranış olduğunu beklemiyor.”
Kamuya açık verilerin kazınması teknik olarak bir veri ihlali teşkil etmese de Have I Been Pwned’in (HIBP) kurucusu ve CEO’su ve Microsoft bölge direktörü Troy Hunt, işaret etti Geçmişte insanların genel olarak “verilerine uygunsuz bir şekilde erişildiği, yeniden dağıtıldığı ve büyük ihtimalle kötüye kullanıldığı” yönünde bir beklentisi olmadığı için şirketler bunun olmasına izin verme konusunda giderek daha fazla sorumlu tutuluyordu. Bu nedenle örneğin Facebook son dönemde başını belaya soktu. Cambridge Analytica skandalıve daha sonra Meta hata ödül programına veri kazıma eklendi bir tehdit vektörü olarak.
Dark Reading’e şöyle diyor: “Trello, teknik kontrollere dayalı olarak bu tür kazımaların yapılmaması gerektiğinin farkında gibi görünüyor [i.e. tightening the API] uygulamaya koydular ancak bunu iletişimlerinde gerçekten kabul etmediler.”
Kent, veri kazımayı önlemeye odaklanan yazılım sağlayıcılarının yokluğunda, bunun gibi potansiyel API ve iş mantığı sorunlarını ortaya çıkarmak için işletmelerin kritik iş uygulamalarına her zaman sızma testi yaptırmaları gerektiğini ekliyor.
Önceki Veri İhlalleri, Kazıma Saldırıları, Devam Eden Siber Risk
Veri kazımayla böyle bir ölçek elde etmek için, bilgisayar korsanının bilinen e-posta adreslerinden oluşan büyük bir havuzdan ve otomatik bir yaklaşımdan çalıştığı açıkça görülüyor. Peki nereden geldiler?
Hunt’a göre, o zaman Trello verilerini HIBP veritabanına ekledi Emo’nun koleksiyonundaki e-posta adreslerinin her biri, güvenliği ihlal edilmiş kimlik bilgileri nedeniyle geçmişte bir noktada zaten eklenmişti. Hunt’ın Trello e-postalarının 500’ünü anlık olarak kontrol etmesi bazı kaynakları ortaya çıkardı:
İşletmelere yönelik risklere gelince, halka açık bu tür e-postaların zaten güzel, derli toplu, hacimli bir veritabanında toplanmış olması, siber suçluların kaba kuvvet saldırıları ve kimlik bilgileri doldurma işlemlerini çok daha az emek yoğun hale getiriyor.
Hunt, “Ben… diğer kullanıcı adı ve şifre çifti dökümlerinden gelen kimlik bilgilerinin doldurulması konusunda endişelenirdim” diyor, kötü şöhretli şifreler gibi ilgili şifreleri içeren daha önceki veri dökümlerinin devasa ölçeği göz önüne alındığında Koleksiyon 1 şifre veritabanı 2019’dan itibaren.
Ve aslında, Trello panolarının hem devam eden hem de tamamlanmış projelerle ilgili çok sayıda özel veri içerdiği göz önüne alındığında, etkilenen işletmeler yalnızca şifrelerle değil, çok faktörlü kimlik doğrulama (MFA) gibi ek güvenlik kontrolleriyle de korunduklarından emin olmak isteyecektir.
Delinea güvenlik bilimcisi ve danışman CISO’su Joseph Carson, az önce açıklanan olaya işaret ederek, “Siber suçlular, son birkaç ayda kimlik bilgileri doldurma saldırıları gerçekleştirmede artan başarı elde ediyor gibi görünüyor” dedi. Jason’ın Şarküteri saldırısı Örnek olarak. “Kullanıcıların, hassas verileri depolarken bir parola kasası, parola yöneticisi veya ayrıcalıklı erişim yönetimi çözümü kullanarak her hesapta benzersiz kimlik bilgileri kullandıklarından emin olmaları gerekir. Hesapların güvenliği ihlal edildiğinde bile parolanın korunabilmesi için MFA’yı da kullanmaları gerekir. Verilerini koruyan tek güvenlik kontrolü bu değil.”
Kimlik avı konusunda da çok gerçek bir fırsat var.
Kent, “Bu tür ihlallerden kaynaklanan takip eden saldırıların çoğu, doğası gereği bağlamsaldır” diye belirtiyor. “Bir kimlik avı saldırısı düşünün, ancak sizin bu sistemin bir parçası olduğunuzu zaten biliyorum. Parolanızı sıfırlamak için size bir ihlal bildirimi gönderebilirim ve bir bağlantıya tıklamanızı sağlayabilirim. Bu bağlantı, kötü amaçlı yazılım yükleyebilir veya başka bir şey yapabilir. veriler onu çok önemli kılıyor.”