Hackers scrapen data van meer dan 15 miljoen Trello-gebruikers

Hackers hebben op 16 januari data gescrapet bij projectmanagementtool Trello. Er werden gegevens van ongeveer 15,1 miljoen gebruikers buitgemaakt, waaronder e-mailadressen, namen en gebruikersnamen. Volgens Trello was er geen sprake van ongeautoriseerde toegang.

Volgens X-account HackManac wordt de data momenteel aangeboden op het dark web. De gegevens zijn toegevoegd aan de database van Have I Been Pwned. Daar staat te lezen dat de gegevens zijn bemachtigd door data van een publiek toegankelijke resource te koppelen aan e-mailadressen uit vorige datalekken. Het is niet duidelijk om welke publiek toegankelijke resource het dan gaat. Have I Been Pwnd meldt via X dat alle gegevens die in januari zijn buitgemaakt al waren opgenomen in hun database.

Interface Trello-app
Interface Trello-app

Door Jay Stout

Redacteur

Feedback • 23-01-2024 11:15
75 • submitter: Oon

23-01-2024 • 11:15

75

Submitter: Oon

Lees meer

Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat Nieuws van 8 november 2024
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt Nieuws van 20 februari 2024
Klantgegevens van juwelier Brandfield waren openbaar toegankelijk
Klantgegevens van juwelier Brandfield waren openbaar toegankelijk Nieuws van 20 februari 2024
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend Nieuws van 13 februari 2024
Api van Twitter-alternatief Spoutible lekte persoonlijke gegevens gebruikers uit
Api van Twitter-alternatief Spoutible lekte persoonlijke gegevens gebruikers uit Nieuws van 5 februari 2024
23andMe: hackers hadden maandenlang toegang tot gegevens klanten
23andMe: hackers hadden maandenlang toegang tot gegevens klanten Nieuws van 28 januari 2024
'Na Microsoft ook HPE slachtoffer van Russische staatshackers'
'Na Microsoft ook HPE slachtoffer van Russische staatshackers' Nieuws van 25 januari 2024
'Ook gerechtelijke en notariële documenten gestolen bij cyberaanval Limburg.net'
'Ook gerechtelijke en notariële documenten gestolen bij cyberaanval Limburg.net' Nieuws van 23 januari 2024
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten Nieuws van 22 januari 2024
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen Nieuws van 18 januari 2024
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset Nieuws van 18 januari 2024
Parkeerbetaaldienst EasyPark meldt datalek na cyberaanval
Parkeerbetaaldienst EasyPark meldt datalek na cyberaanval Nieuws van 15 december 2023
Overheid brengt NL-Alert-app uit voor grensbewoners en mensen met beperking
Overheid brengt NL-Alert-app uit voor grensbewoners en mensen met beperking Nieuws van 11 december 2023
NRC: Chinese hackers hadden twee jaar lang toegang tot netwerk chipfabrikant NXP
NRC: Chinese hackers hadden twee jaar lang toegang tot netwerk chipfabrikant NXP Nieuws van 24 november 2023
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account Nieuws van 5 november 2023
Meer producten en artikelen
Beveiliging en antivirus Privacy Datalek Hackers

Reacties (75)

-Moderatie-faq
75
75
25
3
0
45
Wijzig sortering
Floort
23 januari 2024 11:44
De voorwaarden van Atlassian merken scraping nu juist aan als "wrongful activity". De opmerking "Volgens Trello was er geen sprake van ongeautoriseerde toegang." is daarmee een beetje ambigu en potentieel misleidend. Hoewel het mogelijk is dat er geen technische beveiligingsmaatregelen zijn doorbroken lijkt het erop dat er wel beleidsmatige beveiligingsmaatregelen zijn doorbroken. Het kan daarmee alsnog een inbreuk zijn op de beveiliging onder de AVG en (afhankelijk van omstandigheden) mogelijk ook meldplichtig bij toezichthouders en/of betrokkenen.
bw_van_manen @Floort23 januari 2024 11:56
Ik verbaas me er bij dit soort data scraping lekken steeds over dat er zoveel data via API endpoints op te vragen is, kennelijk zonder enige controle of filters. Waarom kan een Developer met toegang tot de Trello API überhaupt accountgegevens van gebruikers buiten zijn eigen bedrijf opvragen? Waarom kun je 15 miljoen datapunten opvragen zonder tegen enige limieten aan te lopen? Dat moet toch ook voor Trello zelf een enorme belasting voor hun servers zijn...
laptopleon @bw_van_manen23 januari 2024 12:07
Het zal niet elke dag gebeuren :+ mag ik hopen, daarom komen ze er juist mee weg om het zo slordig / slecht af te bakenen. Maar terechte kritiek.
Epidemias @bw_van_manen23 januari 2024 12:18
Er zijn andere manieren om die data te vergaren dan 15 miljoen requests to lanceren in een window van 20 minuten tijd.

Als je je request verdeeld over 10 computers, die elk een maand lang requests naar de API zenden, komt dat gemiddeld neer op 0,58 requests per seconde per node. Dit valt helemaal niet op tussen de duizenden valide requests die de API per seconde verwerkt.
NutKees @bw_van_manen23 januari 2024 13:12
Ik denk niet dat er sprake is van het opvragen van gegevens van andere accounts via een dev/admin account. Dat zou ik zeker wel categoriseren als ongeautoriseerde toegang.

Het lijkt mij eerder een aanval waarbij er een lijst van email adressen is buitgemaakt van de trello gebruikers. (Bijv bij een derde partij voor mailing) Deze lijst is gecombineerd met eerdere datalekken met wachtwoorden. Dan is het is kwestie van proberen in te loggen en bij succes de gebruikers data te scrapen.

Wat Epidemias al aangaf, ze zullen deze activiteit wel spreiden over een bepaalde periode zodat het niet opvalt. Dus meerdere nodes met een rampup van een aantal dagen gedurende een paar weken bijvoorbeeld.
Coolstart @bw_van_manen23 januari 2024 13:12
Ik verbaas me er bij dit soort data scraping lekken steeds over dat er zoveel data via API endpoints op te vragen is, kennelijk zonder enige controle of filters.
Dat staat er niet letterlijk. Het lijkt er niet op dat iemand de API heeft misbruikt om e-mail adressen te scrapen. Er staat letterlijk dat 100% van de e-mail adressen al gekend zijn van bij andere beaches. Dus Trello heeft alvast al geen e-mail adressen gelekt.

De vraag blijft natuurlijk waarom ze hacker zo zeker is dat die 15 miljoen contacten ook effectief een Trello account hebben of hadden. De meest logische manier is in te een account aanmaken met uw credentials. Als het e-mail adres al bestaat krijg je het verzoek om in te loggen ipv te registeren. Via de API kan dit 100% zeker niet. Geen idee hoe dat wel kan. Via de website heb je sowieso ook Rate limits.
beerse @bw_van_manen23 januari 2024 14:42
Data scraping is het verzamelen van gegevens die langs komen. Dat is een breed begrip. Mijn gedachten bij deze 'hack' zijn dat de scrapers een lijst met mail adressen hadden en ze hebben ontdekt dat je met het (mislukt) inloggen met dat adres een een fout wachtwoord kan zien of het email adres wel of niet goed is. Dan kan je dus met een lijst aan email adressen zien welk adres wel een account op de site heeft.

Met die lijst met 'werkende' namen heb je een begin. De volgende stap is te zien of de gekende accounts met elders geoogste wachtwoorden iets oplevert.

Grootste misser van de login website: Melden dat het mail adres wel goed is maar het wachtwoord niet.
Byron010 @Floort23 januari 2024 11:51
Hoe ik het zelf lees:

Wrongful activity != (is niet hetzelfde als) ongeautoriseerde toegang. Het is onjuist gebruik van een tool, maar er is geen autorisatie aan te pas gekomen.
beleidsmatige beveiligingsmaatregelen
Dat is naar mijn mening ook geen maatregel, het is een beleid. Beleid moet je zelf op acteren om na te leven maar een maatregel is al 'in actie' en gebeurd dus al.

Ik zie het dus eerder als een inbreuk van de algemene voorwaarden, niet van de beveiliging. (Die duidelijk ook dingen te wensen over laat zoals rate limiting)
Floort
@Byron01023 januari 2024 11:57
Ik probeer uit te leggen dat het afhankelijk is van de context of dat onderscheid relevant is. Of iets een inbreuk is op de beveiliging onder de AVG is niet afhankelijk van de effectiviteit van de beveiligingsmaatregel. Dat authorisaties niet (voldoende) technisch worden afgedwongen hoeft niet te betekenen dat alles wat technisch kan ook geautoriseerd is.

[Reactie gewijzigd door Floort op 23 juli 2024 10:19]

Byron010 @Floort23 januari 2024 12:01
Wel goed dat je het benoemd op deze manier eigenlijk (ik denk nu ook dat ik beter begrijp wat je bedoeld).

Eigenlijk zeg je omdat het wel opgenomen is in de voorwaarden (en ondanks het technisch niet geblokkeerd is), is het nog steeds een overtreding/misbruik van de beveiliging vanuit het AVG oogpunt.
himlims_ 23 januari 2024 11:18
krijg tegenwoordig bijna iedere week wel mailtje van 'Have I Been Pwned' trieste bedoelling
555Henny555 @himlims_23 januari 2024 11:28
Wat ik nog meer zorgwerkend vind is dat er vaak bij staat plain passwords, of achterhaalde hashed algoritmes zoals md5, geen salts...

Blij dat ik aantal jaar geleden bij overstapt op een password manager... Helaas, Jan met de pet heeft hier nog nooit van gehoord... Zelfs in mijn IT-omgeving, klanten voornamelijk dan, zie ik dat zij ook geen password manager gebruiken en wachtwoorden zoals naamVhBedrijf2024$ of zo gebruiken...
Olaf van der Spek @555Henny55523 januari 2024 11:34
Waarom staan we gebruikers überhaupt toe zelf een wachtwoord te kiezen? Een site zou dan toch gewoon zelf een wachtwoord kunnen genereren.
Christoxz @Olaf van der Spek23 januari 2024 11:44
Sommige websites kunnen nog niet eens garanderen dat het veilig wordt bewaard, laat staan we laten hun ook nog is bepalen hoe sterk ons wachtwoord is.
Cyberpuppy @Christoxz23 januari 2024 11:57
Of nog steeds meldingen bij de website van de ING, uw wachtwoord is te lang en/of bevat karakters die wij te moeilijk vinden.

Of doodleuk een wachtwoord accepteren en dan onder water het afkappen op 16 karakters. Zie dan nog maar eens binnen te komen

Of het wachtwoord accepteren en dan speciale tekens verwijderen zonder dit mede te delen. Succes verder.

Of melden dat je gekozen wachtwoord niet voldoet aan de gestelde eisen, maar dan niet vermelden wat de eisen zijn.

Of nog steeds werken met beveiligingsvragen waarvan de antwoorden kinderlijk eenvoudig op de sociale media te vinden zijn of waarvan je zelf geen enkel idee hebt (wat was de 2e voornaam van je achterneef in de derde graad)
Olaf van der Spek @Cyberpuppy23 januari 2024 12:11
Of nog steeds meldingen bij de website van de ING, uw wachtwoord is te lang en/of bevat karakters die wij te moeilijk vinden.
Als de website zelf het wachtwoord zou genereren zou dit toch ook geen probleem meer zijn?
Dorank @Olaf van der Spek23 januari 2024 14:00
Maar ik wil mijn ING wachtwoord graag langer hebben dan ING zelf denkt dat nodig is! De laatste keer dat ik mijn ww moest aanpassen was de limiet schijnbaar 20 characters (en dan slechts maar sommige character). Dat is een veel lager aantal characters dan ik standaard kies.
fire-breath @Cyberpuppy23 januari 2024 12:52
Leuk weetje,
Een kennis van me uit het VK heeft zijn bank om de oren geslagen dat hij niet een wachtwoord kon aanmaken dat voldeed aan zijn (hogere) eisen.
Uiteindelijk heeft hij hier nog een leuke geldelijke vergoeding voor gekregen.
Edward Dortland @Cyberpuppy23 januari 2024 16:00
Prak in beveilingsvragen liever geen echte antwoorden maar net zulke complexe strings of passprhases als voor he wachtwoord en bewaar deze in je passwordmanager.
Cyberpuppy @Edward Dortland23 januari 2024 16:14
Dat doe ik ook. Maar weet de argeloze gebruiker dit ook. Die vult dat dus in.
Settler11 @Olaf van der Spek23 januari 2024 12:03
Zeker niet gebruikersvriendelijk. Grote kans dat ze het product/dienst niet (meer) gebruiken of ze copy+pasta het wachtwoord ergens op.
YopY @Olaf van der Spek23 januari 2024 16:17
Da's ook niet veilig, want dan moet die site op de een of andere manier dat wachtwoord aan de gebruiker communiceren, bijvoorbeeld via een email.

Nee, laat de gebruiker het zelf bepalen en stel regels in, waaronder vaak gebruikte woorden met een custom extra lijst van het bedrijfsnaam en de naam van de gebruiker.
Olaf van der Spek @YopY23 januari 2024 17:08
Da's ook niet veilig, want dan moet die site op de een of andere manier dat wachtwoord aan de gebruiker communiceren, bijvoorbeeld via een email.
Of gewoon via de site zelf..
Nee, laat de gebruiker het zelf bepalen en stel regels in, waaronder vaak gebruikte woorden met een custom extra lijst van het bedrijfsnaam en de naam van de gebruiker.
We zien inderdaad dat dat prima werkt. ;)
MiesvanderLippe @555Henny55523 januari 2024 11:34
Het is ook aan ons om te zorgen dat dit niet kan of moeilijker is. Je kunt in 365 bijvoorbeeld een lijst met verboden woorden opgeven. Zet daar de seizoenen, bedrijfsnaam etc. in en je krijgt de gebruikers die je wil spreken vanzelf aan je bureau :P Variaties pakt ie er vanzelf uit.

[Reactie gewijzigd door MiesvanderLippe op 23 juli 2024 10:19]

SilentDecode @MiesvanderLippe23 januari 2024 12:01
Dat is geen 365 optie, dat is een Azure optie. En je hebt er P1 voor nodig, op z'n allerminst.
SilentDecode @555Henny55523 januari 2024 12:00
Tip: Azure Password Protection en die dan terug laten syncen naar on-prem. Dan heb je dat probleem ook opgelost. Gebruikers boos, maar dan zit je tenminste wel een stuk veiliger.
locke960 @himlims_23 januari 2024 11:29
Of je 'Pwned' bent of niet is allang niet meer het grootste probleem. Dat is een te managen probleem wat je voor een groot deel zelf onder controle hebt.

Het grotere probleem is de algemene data-incontinentie. Alles en iedereen verzamelt gegevens, en stukje bij beetje worden die gegevens gelekt. Dat wordt allemaal weer verzameld en tot profielen samengevoegd door minder frisse partijen. Hier kun je zo goed als niets tegen doen.

[Reactie gewijzigd door locke960 op 23 juli 2024 10:19]

Jimbolino @locke96023 januari 2024 13:45
Het helpt als je:
Voor iedere website een uniek email adres en wachtwoord maakt
Alleen de noodzakelijke gegevens invullen, nepgegevens gebruiken als je verplicht wordt iets in te vullen.
Jaarlijks wisselen van isp
Ongebruikte accounts verwijderen
haam @locke96023 januari 2024 13:53
Een van de redenen waarom ik altijd een bijna goed telefoonnummer invul (als ik inschat dat ze dat niet nodig hebben voor bv.mijn aankoop). Hetzelfde gebeurd met mijn adres.
SilentDecode 23 januari 2024 11:24
Yep. Tijd om over te stappen naar een self-hosted versie op Docker, er m'n account bij Trello door de plee te spoelen. Ben inmiddels wel een keer klaar met al die services die gehacked worden.
dakka @SilentDecode23 januari 2024 11:31
Self hosted services worden ook aan de lopende band gehackt, nog erger omdat een groot deel niet hun hele security op orde heeft (ssh poort opengelaten, niet op tijd updaten, geen fail2ban, etc..), maar daar hoor je nou eenmaal weinig over.

Wat overblijft is airgappen en papier, als er niet gericht op je data gejaagd wordt tenminste.

edit: inhoud te snel gelezen, wss maakten ze gewoon calls naar een of andere endpoint die dan met de usernames terugkwam, een beetje zoals de @ + user functie om hier een user te taggen vermoed ik dan. Kan je dan wel wel echt van een incident spreken? (behalve dat het scrapen zelf wel eerder een belletje had moeten doen rinkelen)

[Reactie gewijzigd door dakka op 23 juli 2024 10:19]

CAPSLOCK2000
@dakka23 januari 2024 13:14
Self hosted services worden ook aan de lopende band gehackt, nog erger omdat een groot deel niet hun hele security op orde heeft (ssh poort opengelaten, niet op tijd updaten, geen fail2ban, etc..), maar daar hoor je nou eenmaal weinig over.
Klopt, ideaal bestaat niet. Kleine sites hebben minder resources voor security, daar staat dan weer tegenover dat grote sites een aantrekkelijker doel zijn omdat er meer te halen.

De doorslaggevende factor is in mijn ervaring het personeel, niet de techniek. Je hebt inzicht en overzicht nodig om goede keuzes te maken. Een grote omgeving kan heel veel kant-en-klaar aanleveren maar iedere extra feature is ook weer een risico, van bugs tot misconfiguraties tot misverstanden. Alles moet samenwerken en elkaar aanvullen. Als je daar geen oog voor hebt wordt het lastig. Ik zie wel eens dat mensen tegen het systeem vechten om het in te richten waarbij ze verwachten dat dat een syntaxtisch juiste configuratie wel veilig zal zijn. "Het systeem laat toe dat we de wachtwoordlengte op 4 tekens zitten, laten we dat doen!"

De grote systemen ("cloud" enzo) kunnen enorm veel aanleveren waardoor je heel snel veel gedaan krijgt, maar het werk wordt er niet makkelijker op. De denkfout die vaak gemaakt wordt is dat als je goede software neemt je met minder goed/duur personeel toe kan. Dat werkt misschien op het gebied van productiviteit maar niet op het gebied van security.

Vergelijk het met een pizzabezorger die z'n fiets vervangt door een crossmotor. De pizza zal sneller bezorgd worden maar de kans op ongelukken neemt toe, net als de gevolgen van ongelukken. Als je pizza per motor wil bezorgen moet je daar ook een ervaren en verantwoordelijke bestuurder bij nemen. Als je zo'n bestuurder hebt dan is die motor een mooie optie om optimaal gebruik te maken van dat talent, maar je kan het niet omdraaien. Iemand zonder ervaring op een crossmotor zetten gaat het verkeer niet veiliger maken en ook niet goedkoper.
familyman @CAPSLOCK200023 januari 2024 17:57
Vergeet dat minder aantrekkelijk maar, alles wordt volautomatisch gescand.
Christoxz @dakka23 januari 2024 11:34
Self hosted kan natuurlijk ook lokaal voor je zelf. Dus ligt er maar net aan hoe je het wilt gebruiken!
paella @Christoxz23 januari 2024 11:39
En jouw machine hangt aan het internet. Dus te hacken..
Christoxz @paella23 januari 2024 11:43
Uiteraard, maar die zorg is pas reëel als je het bewust exposed naar buiten toe. SSH open laten, geen fail2ban is pas van toepassing als je het exposed hebt.
paella @Christoxz23 januari 2024 14:32
Nee hoor, jij kan een verkeerd linkje klikken en... foetsie!
Christoxz @paella23 januari 2024 14:36
Dat heeft dus helemaal niks meer te maken met selfhosting.
Cergorach
@paella23 januari 2024 11:55
Jou huis ligt aan de straat, dus te hacken...

Self hosted ligt er aan hoe je het self host. Je kan het alleen op je interne netwerk hebben en alleen via bv. VPN benaderen. Je kan het ook via een cloudflare tunnel benaderen waar je andere authenticatie voor hangt, etc. Aan het internet hangen betekend niet dat iedereen er (zomaar) bij kan. In veel gevallen moet er eerst een hoop andere meuk gehackt worden en dat gaat men over het algemeen niet doen bij een individu...
dakka @Christoxz23 januari 2024 11:43
Ja tot iemand binnenkomt omdat je ergens nog een port open had staan, bots lopen constant op ieder adres een opening te vinden, en dan zal je maar slachtoffer zijn van een zeroday, dan had je er helemaal niets aan kunnen doen.
SilentDecode @dakka23 januari 2024 11:38
Self hosted services worden ook aan de lopende band gehackt
Vind ik knap als er een dikke firewall (ja, een firewall, geen router) voor zit, die verkeer naar buiten tegenhoud. Ook is er geen directe toegang vanaf buiten naar binnen.

Ik ben geen fan van services naar buiten openzetten, dus ik doe alles lekker met een VPN als ik er bij wil.
dakka @SilentDecode23 januari 2024 11:45
Wat gebruik je voor je FW?
SilentDecode @dakka23 januari 2024 11:52
Sophos UTM
Cyberpuppy @SilentDecode23 januari 2024 12:00
Self-hosted Trello? Ik ben geïnteresseerd
dakka @Cyberpuppy23 januari 2024 12:04
Taiga, WeKan, Focalboard
SilentDecode @Cyberpuppy23 januari 2024 12:02
Nee, niet Trello. Alternatief voor Trello. Trello is gewoon van Trello zelf.

Ik ben nu naar WeKan aan het kijken.
https://github.com/wekan/wekan/tree/main
Caseum @SilentDecode23 januari 2024 11:27
Beetje off topic, maar wat gebruik je dan? :)
dakka @Caseum23 januari 2024 11:33
Taiga is een redelijk self hosted alternatief voor Trello, Nextcloud heeft vgm ook een (best wel basic) kanban functie

[Reactie gewijzigd door dakka op 23 juli 2024 10:19]

SilentDecode @dakka23 januari 2024 11:42
Taiga is een redelijk self hosted alternatief voor Trello
Na 5 seconden op de site te hebben gekeken, is dit een mooi moment om te zeggen dat dit zware overkill is voor wat ik zoek :P.
Nextcloud
Extreem log voor een beetje boards onderhouden. Ben ook geen gigafan van *cloud (owncloud of nextcloud).
dakka @SilentDecode23 januari 2024 11:47
Focalboard kan ik dan nog opnoemen, anders moet je gewoon een heel simpel todo websitetje voor jezelf bouwen :P
SilentDecode @dakka23 januari 2024 11:54
Ik + website bouwen = hell no. Ik ben verschrikkelijk slecht met programmeren, en zelfs scripting. Dus dat gaat em niet worden.

Ik ben nu aan het asen op WeKan. OSS versie van KanBan.
SilentDecode @Caseum23 januari 2024 11:36
Nu nog niets. Ik heb alleen een board nodig waar ik m'n lijsten op kan zetten, dus m'n eisen zijn miniscuul.

Na een korte zoektocht is wellicht WeKan wel een mooie. Ik ga hier nog even wat meer tijd in steken om het fatsoenlijk uit te zoeken.
Caseum @SilentDecode23 januari 2024 11:46
Wij gebruiken zelf Focalboard, maar zijn altijd in voor het kijken naar alternatieven.
SilentDecode @Caseum23 januari 2024 11:53
Zag ik inderdaad ook al voorbij komen. Is mij allemaal veel te zwaar voor wat ik wil doen.
Matanza 23 januari 2024 11:23
We maakte met ons bedrijf gebruik van Jira als test met 3 accounts.
Vandaag mailtje van 'Have I Been pwned' dat er 3 accounts gelekt zijn.

Het gaat dus niet alleen over Trello. Maar waarschijnlijk over alles/veel van Atlassian.
dakka @Matanza23 januari 2024 11:26
Volgens de hacker/degene die de dataset verkoopt, gaat het alleen maar om Trello. Ik ga er niet vanuit dat een Atlassian account gelijk ook in de Trello database aangemaakt wordt als je er niks mee doet.
YouKnowZMe! @Matanza23 januari 2024 11:33
Hmm, daar zeg je wat. Ik kreeg gister ook een mailtje dat mijn "Trello account" was gelekt, terwijl ik geen Trello gebruik, maar juist wel weer Jira.
Chiwn @YouKnowZMe!23 januari 2024 14:13
Dit is voor mij hetzelfde geval als bij jou, maar nu valt voor mij het kwartje pas.
mrbullet 23 januari 2024 11:26
Wat is "Trello"?

Trello is de ultieme tool voor projectmanagement. Maak razendsnel een bord aan, automatiseer saaie taken en werk overal.....
Cyberpuppy @mrbullet23 januari 2024 12:05
Mee eens dat het een prima tool is. Maar er haperen toch wel een paar zaken:

-Als je geen programmeurs in dienst hebt is het maken van een backup geen triviale taak.
-Bovenliggend Atlassian heeft zowat wekelijks wel een CVE te pakken
-Toch wel een beejte vage rechtenstructuur voor toegang tot boards. Soms onduidelijk of je niet per ongeluk een board met de hele wereld deelt.
-Plugins. Van vrijwel geen enkele plugin is te achterhalen wie er achter zit als bedrijf en wie dus je data zou kunnen inzien of wie die data verwerkt.
-Ondanks dat het een vrij cruciale dienst is voor veel teams is onduidelijk welke uptime zij kunnen garanderen
Zidane007nl @Cyberpuppy23 januari 2024 14:55
Bovenliggend Atlassian heeft zowat wekelijks wel een CVE te pakken
Atlassian wil iedereen ook pushen om gebruik te maken van de cloud. Maar wat is dat een achteruitgang (traag, veranderingen die doorgevoerd worden waar je niet om hebt gevraagd). Ze hadden vorige week donderdag zelfs een storing: https://jira-software.sta...om/incidents/z9kvvpkbngws.
Cyberpuppy @Zidane007nl23 januari 2024 16:16
Stiekem vind ik het wel goed nieuws. Eindelijk beginnen de barstjes in die cloudhype een beetje zichtbaar te worden voor het grotere publiek. Hopelijk dat er dan ook eens iets wordt gedaan aan de probleempunten.
Ootje70 @mrbullet23 januari 2024 17:30
Je kunt dan net zo goed Teams gebruiken en een Kanban aanmaken, wel stuk veiliger.
musiman 23 januari 2024 11:50
Het valt me op dat t.net de laatste dagen wel erg veel security nieuws plaatst. Niet dat ik het erg vind, maar opvallend is het wel. Voor security nieuws kijk ik meestal op hiervoor gespecialiseerde websites.
mrbullet @musiman23 januari 2024 12:28
Inderdaad, Bleepingcomputer is bv een goed voorbeeld daarvoor.
Zeror 23 januari 2024 12:00
2FA maar even aangezet. Had ik nog niet gedaan bij Trello/Atlassian.

Trello vind ik persoonlijk een erg fijne tool. Ik heb er een todo bord gemaakt wat mij helpt om mijn dagelijkse taken in kaart te brengen en agenda schoon te houden. Wat ik o.a. een prettige functie vind, is dat je via email ook kaarten kunnen aanmaken door naar een speciaal emailadres te mailen. Dit emailadres heb ik ook gedeeld met enkelen, zodat als ze willen dat ik iets voor ze doe dat zij dit op mijn todo bord kunnen zetten, zodat ik het niet vergeet.
H4rd 23 januari 2024 12:04
Ik kijk er niet meer van op. Wat kan je tegenwoordig nog wel gebruiken zonder dat er weer een nieuw artikel in tweakers over verschijnt?
Zullen door dit tooltje veel nieuwe werk emailadressen tussen zitten op pwned heb ik helaas het idee.
dakka @H4rd23 januari 2024 12:19
De emails komen uit oudere lekken, wat hier voornamelijk nieuw is is de email + username combinatie, wat gebruikt kan worden bij phising.
Yzord 23 januari 2024 12:56
En mensen maar blijven roepen wat je te verbergen hebt als je je sterk maakt voor privacy. Miljarden persoonlijke gegevens dolen rond op het interweb en tig AI scrapers op de loer die al deze data eigen maken en proberen er een koppeling aan te maken. En al deze koppelingen kunnen vrij worden ingezien door multinationals die ik het verleden al tig keer in het nieuws zijn gekomen dat ze het niet zo nauw nemen met jouw privacy.

Vervolgens laten we AI ook binnen in ons digitaal domein om de puntjes op de i te zetten. Want het is toch zo verdomd handig die Copilot.

Mensen, probeer zo zuinig mogelijk te zijn met wat je vrij geeft.
Milanobrotchen 23 januari 2024 13:03
15,111,945 Trello accounts, Net even gechecked. Fijn dat ik er niet bij sta.

https://haveibeenpwned.com/
Dark Angel 58 @Milanobrotchen23 januari 2024 13:32
Tot Januari gebruikten we ook Trello, gelukkig ben ik veilig.
Hopelijk hebben ze al die data verwijderd toen we met Trello stoppen.

[Reactie gewijzigd door Dark Angel 58 op 23 juli 2024 10:19]

Bender @Dark Angel 5823 januari 2024 14:34
Het is de vraag of accounts verwijderd worden, en als dat gebeurt of dat ook instant is en geen soort quarantaine periode overheen gaat.
Baardmeester @Milanobrotchen23 januari 2024 15:56
Ik sta er ook niet tussen. Het zou met een simplelogin email zijn maar toch.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq