Em janeiro de 2024, um hacker conhecido como “emo” divulgou que havia coletado 15.115.516 endereços de e-mail de usuários registrados no Trello, além de outras informações públicas associadas a essas contas. Essas informações foram obtidas após o cibercriminoso explorar uma API insegura da plataforma.
O hacker afirmou ter alimentado mais de 500 milhões de endereços de e-mail para verificar quais deles estavam vinculados a contas do Trello. Além dos endereços de e-mail, ele também conseguiu obter os nomes completos dos usuários. Posteriormente, as informações roubadas foram colocadas à venda em um fórum de hackers.
Segundo o BleepingComputer, a API não segura permitia que qualquer usuário não autenticado mapeasse um endereço de e-mail para uma conta do Trello. Inicialmente, o Trello negou ser vítima de uma violação, alegando que as informações coletadas eram públicas. No entanto, a empresa posteriormente admitiu que a falha de segurança na API foi a causa do problema.
O Trello explicou que a API comprometida tinha como objetivo permitir que os usuários convidassem outras pessoas para fóruns públicos por e-mail. Após o incidente, a empresa atualizou a API para evitar novos usos indevidos.
