Trello: Rund 15 Mio. Datensätze im Netz
von caschy | 4 Kommentare
Trello ist eine webbasierte Projektmanagement-Anwendung, über die wir in den vergangenen Jahren bereits berichtet haben. Im Januar 2024 wurden Daten von Trello durch Scraping „zusammengestellt“ und auf einem beliebten Hacking-Forum zum Verkauf angeboten.
Die Daten enthalten über 15 Millionen E-Mail-Adressen, Namen und Benutzernamen. Trello selbst gab an, dass kein unbefugter Zugriff stattgefunden hat. Nach Eingabe der eigenen Mail-Adresse auf der Have-I-Been-Pwned-Webseite können Trello-Nutzer prüfen, ob sie auch betroffen sind.
Wie immer gilt, unabhägug davon, dass es kein Datenleck gab, bei dem Passwörter gestohlen wurden: Keine Zugangsdaten mehrfach nutzen und, wenn möglich, die 2FA oder Passkeys nutzen, Stichwort: Credential Stuffing.
New breach: Trello had 15M records scraped and posted for sale on a hacking forum last week. Data included names, usernames and email addresses from previous breaches used to enumerate Trello profiles. 100% were already in @haveibeenpwned. Read more: https://t.co/kSt3RAAgrI
— Have I Been Pwned (@haveibeenpwned) January 22, 2024
Scraping ist eine Methode zur Extraktion und Sammlung von Daten von Websites. Diese Technik wird häufig dazu verwendet, unstrukturierte Daten von Websites in eine strukturierte Form zu konvertieren. In der Regel wird Scraping mit automatisierten Softwaretools durchgeführt, die Code durchsuchen, um bestimmte Daten zu erfassen und zu speichern.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Waren die Daten öffentlich ohne Login einsehbar oder wie ist Trellos Aussage zu interpretieren?
Ich gehe davon aus, dass die Daten schon im Netz waren und damit probiert wurde sich bei Trello anzumelden. Anscheinend funktionierte dies bei 15 Millionen Datensätzen. Deshalb auch der Punkt mit einmaligen PW und 2SV.
Nein, lies den Text.
Da steht „Scraping“. Es handelt sich alsu um öffentlich zugängliche Daten, die lediglich massenhaft abgegriffen wurden.
Beispiel: Ein Script sucht bei Twitter nach „@aaa“, es werden 10 Konten mit Bild angeboten, die saugt man sich, dann das gleiche mit „@aab“ und so weiter.
So bekommt man keine Passwörter, aber wenn man das Konto aus einem anderen, „echten“ Hack kennt, probiert man dieses Passwort. Oder nutzt die Daten für Fishing. Und Spam zusenden geht natürlich immer.