※本記事は、Erika Storliが2023年1月23日に公開した英語記事「Setting the record straight about Trello user profile data」を翻訳したものです。内容に相違が見受けられる場合、英文ページの内容を正とします。

2024年7月18日 [アトラシアンからの最新情報]

今週、2024年1月に脅威アクターによりAPIの悪用を通じて取得されたTrelloの公開ユーザープロフィールが公開されました。以下の2024年1月23日のブログ投稿にあるように、脅威アクターが取得したのはすでに一般に公開されていたTrelloのユーザープロフィールであり、脅威アクターはこの情報と、別のソースから取得したメールアドレスとを組み合わせました。

ユーザーデータのセキュリティとプライバシーの確保はアトラシアンの最優先事項であり、弊社では今回の調査で判明したAPIの悪用を受け、即座に再発防止策を適用しています。

変更内容

Trelloの中核機能として、Trelloユーザーがメールアドレスを使用して公開ボードにメンバーやゲストを招待できる機能があります。これはTrelloのREST APIで実現されています。

しかしながら、今回のインシデントを受けて弊社で行ったAPI変更により、未認証のユーザー/サービスが別のユーザーの公開情報をメールアドレスでリクエストすることが禁止されました。認証済みのユーザーは引き続きこのAPIを使って別のユーザーの公開プロフィールをリクエストできます。

この変更を通じて、APIの悪用防止と、「メールアドレスで公開ボードに招待」するユーザー機能のバランスを実現できることを期待しています。引き続き本APIの使用状況を監視し、必要に応じた対応を行っていきます。

Trelloコミュニティのみなさま、こんにちは。

現在、Trelloのユーザープロフィールデータについて脅威アクターが発信している主張があることを確認しています。当社はすでに徹底的な調査を完了しておりますが、このデータが未認証のアクセスによって収集されたことを示す証拠は確認されていません。脅威アクターはすでにメールアドレスの一覧を保持しており、それらのメールアドレスを使用してTrelloの公開ユーザープロフィールを取得していました。これらのメールアドレスとTrelloの公開ユーザープロフィールデータとを組み合わせて最終的なデータセットが作成されました。

つまり、脅威アクターは公開済みのTrelloのユーザープロフィール情報のみを取得しており、その情報を別の情報源から取得したメールアドレスと組み合わせています。

ご利用のTrelloアカウントについて特別な操作は不要ですが、Trelloのプライバシー設定の公開フィールドに設定されている情報が、公開を意図した内容であることをご確認ください。ご自身の公開プロフィールを確認するには、Trelloにログインして trello.com/you にアクセスします。

また、ご利用のアカウントの安全性を保つためには次のような一般的なベストプラクティスがあります。

• ご利用のTrelloアカウントで2段階認証を有効化します

• 文字、数字、記号を組み合わせた強力かつ一意のパスワードを使用します

• LastPassやBitwardenなどのパスワードマネージャーを使ってアカウントのパスワードを生成および管理することもできます

ご利用のアカウントの保護を強化するためのこのようなプラクティスの詳細については次のページをご確認ください。Atlassian アカウントの保護 | アトラシアン サポート

引き続きご質問をお持ちの場合はこちらからTrelloサポートチームにお問い合わせください。