Trello 是 Atlassian 旗下的一款在線項目管理工具，企業(yè)通常使用它將數(shù)據(jù)和任務(wù)組織到板塊、卡片和列表中。

近日，有黑客發(fā)布了與 Trello 賬戶相關(guān)的 1500 萬個電子郵件地址，這些地址是今年 1 月被 API 收集到的。當時有一個名為 “emo ”的威脅行為者在一個流行的黑客論壇上出售 15 萬個 Trello 會員的資料。

雖然這些檔案中的數(shù)據(jù)幾乎都是公開信息，但每個檔案還額外包含一個與賬戶相關(guān)的非公開電子郵件地址。雖然 Trello 的所有者 Atlassian 當時并未證實這些數(shù)據(jù)是如何被竊取的，但這些數(shù)據(jù)是通過一個不安全的 REST API 收集的，該 API 允許開發(fā)人員根據(jù)用戶的 Trello ID、用戶名或電子郵件地址查詢配置文件的公共信息。

emo 創(chuàng)建了一個包含 5 億個電子郵件地址的列表，并將其輸入 API 以確定它們是否與 Trello 帳戶有關(guān)聯(lián)。然后將該列表與返回的賬戶信息相結(jié)合，創(chuàng)建了超過 1500 萬用戶的會員檔案。

今天，emo 在 Breached 黑客論壇上以 8 個網(wǎng)站信用點，價值 2.32 美元的價格分享了15萬個配置文件列表。

emo在論壇帖子中解釋道：Trello有一個開放的API端點，允許任何未經(jīng)驗證的用戶將電子郵件地址映射到trello賬戶。我原本只打算向端點提供來自'com'（OGU、RF、Breached 等）數(shù)據(jù)庫的電子郵件，但我決定繼續(xù)使用電子郵件，直到厭倦為止。

據(jù)悉，此次泄露的數(shù)據(jù)包括電子郵件地址和公共 Trello 帳戶信息，其中包括用戶的全名。

這些信息可用于有針對性的網(wǎng)絡(luò)釣魚攻擊，以竊取更敏感的信息，如密碼。Emo 還表示，這些數(shù)據(jù)可用于 “dxxing”，使威脅行為者能夠?qū)㈦娮余]件地址與個人及其別名聯(lián)系起來。

Atlassian 今天向 BleepingComputer 證實，這些信息是通過 Trello REST API 收集的，該 API 于今年 1 月被加密。

他表示：在 Trello REST API 的支持下，Trello 用戶可以通過電子郵件地址邀請成員或訪客訪問其公共板塊。但是，鑒于 2024 年 1 月的調(diào)查中發(fā)現(xiàn)的對 API 的濫用，我們對 API 進行了修改，使未經(jīng)身份驗證的用戶/服務(wù)無法通過電子郵件請求其他用戶的公開信息。已通過身份驗證的用戶仍可使用此 API 請求其他用戶配置文件中的公開信息。這一改動在防止濫用 API 和保持 “通過電子郵件邀請到公開討論區(qū) ”功能對用戶有效之間取得了平衡。后續(xù)將繼續(xù)監(jiān)控 API 的使用情況，并采取任何必要的措施。

如今，不安全的 API 已成為威脅行為者的熱門攻擊目標，他們?yōu)E用 API 將電子郵件地址和電話號碼等非公開信息與公開資料相結(jié)合。

2021 年，有黑客曾濫用 API 將電話號碼與 Facebook 賬戶鏈接，創(chuàng)建了 5.33 億用戶的個人資料。

2022 年，Twitter 也曝出了類似的漏洞，黑客通過濫用 API 獲取到了數(shù)百萬用戶的電話號碼和電子郵件地址。

這些數(shù)據(jù)可以揭露在社交媒體上匿名發(fā)帖的人的身份，從而帶來巨大的隱私風險。

最近，有人利用不安全的 Twilio API 獲取了 3300 萬 Authy 多因素身份驗證應(yīng)用程序用戶的電話號碼。目前有很多企業(yè)組織都試圖使用速率限制來保護 API，而不再是通過 API 密鑰進行身份驗證。

但只要黑客購買數(shù)百個代理服務(wù)器，并輪流連接以不斷查詢 API，那么速率限制就會毫無用處。