Achtung Startups, Userdaten von Trello sind geleakt

Es ist neben einigen anderen Tools weit verbreitet in der Startup-Landschaft: Trello, eine Online-Software fürs Projektmanagement. Sie wird unter anderem dazu genutzt, um Dashboard-Ansichten für Metriken zu erstellen, den Fortschritt von Projekten zu dokumentieren oder Aufgaben mit Fälligkeitsdaten zu vergeben. Laut Trello, das zum australischen Software-Konzern Atlassian gehört, nutzen weltweit 2 Millionen Teams die Software.

Nun dürfte es aber zu einem Hack bzw. einem Sicherheitsleck gekommen sein. Denn in zwielichtigen Online-Foren im Darknet kursieren derzeit Listen von etwa 15,1 Millionen E-Mail-Adressen von Trello-Nutzer:innen. Berichten zufolge sollen die Datensätze offenbar per Scraping Daten von Trello ausgelesen und kopiert worden sein. Neben den Mail-Adressen sollen auch Nutzernamen, vollständige Namen und weitere Kontodaten in den Datensätzen zu finden sein.

Wer nun feststellen will, ob er zu den betroffenen Usern gehört, kann das auf der Webseite Have I Been Pwned tun. Diese hat den Datensatz ergänzt, damit jede:r nachsehen kann, ob er betroffen ist. Seitens dem Software-Anbieter selbst gibt es noch keine Stellungnahme zu dem Vorfall bzw. keine Erklärung zu den Gründen, warum die User-Liste aufgetaucht ist.

Direkten Schaden kann man mit den Mail-Adressen und Namen der User wohl nicht anrichten, allerdings gibt es schon Möglichkeiten, dass Missbrauch stattfinden kann, indem vorher geleakte Passwörter mit den Mail-Adressen zu matchen, um sich dann bei Trello anzumelden. Dort finden sich auch heikle. vertrauliche Daten von Unternehmen etwa zu deren Roadmaps oder Kund:innen, die man wohl nicht auf den Displays Fremder sehen will. Auch Phishing-Attacken mit gefälschten Trello-Mails könnten gefahren werden, um Passwörter herauszufinden. Insofern ist es ratsam, als Betroffene:r aufmerksam hinsichtlich etwaiger Phishing-Attacken zu sein und Passwörter bei Trello zu ändern.