Trello 是 Atlassian 旗下的一款在線項(xiàng)目管理工具，企業(yè)通常使用它將數(shù)據(jù)和任務(wù)組織到板塊、卡片和列表中。

近日，有黑客發(fā)布了與 Trello 賬戶相關(guān)的 1500 萬個(gè)電子郵件地址，這些地址是今年 1 月被 API 收集到的。當(dāng)時(shí)有一個(gè)名為 “emo ”的威脅行為者在一個(gè)流行的黑客論壇上出售 15 萬個(gè) Trello 會員的資料。

雖然這些檔案中的數(shù)據(jù)幾乎都是公開信息，但每個(gè)檔案還額外包含一個(gè)與賬戶相關(guān)的非公開電子郵件地址。雖然 Trello 的所有者 Atlassian 當(dāng)時(shí)并未證實(shí)這些數(shù)據(jù)是如何被竊取的，但這些數(shù)據(jù)是通過一個(gè)不安全的 REST API 收集的，該 API 允許開發(fā)人員根據(jù)用戶的 Trello ID、用戶名或電子郵件地址查詢配置文件的公共信息。

emo 創(chuàng)建了一個(gè)包含 5 億個(gè)電子郵件地址的列表，并將其輸入 API 以確定它們是否與 Trello 帳戶有關(guān)聯(lián)。然后將該列表與返回的賬戶信息相結(jié)合，創(chuàng)建了超過 1500 萬用戶的會員檔案。

今天，emo 在 Breached 黑客論壇上以 8 個(gè)網(wǎng)站信用點(diǎn)，價(jià)值 2.32 美元的價(jià)格分享了15萬個(gè)配置文件列表。

emo在論壇帖子中解釋道：Trello有一個(gè)開放的API端點(diǎn)，允許任何未經(jīng)驗(yàn)證的用戶將電子郵件地址映射到trello賬戶。我原本只打算向端點(diǎn)提供來自'com'（OGU、RF、Breached 等）數(shù)據(jù)庫的電子郵件，但我決定繼續(xù)使用電子郵件，直到厭倦為止。

據(jù)悉，此次泄露的數(shù)據(jù)包括電子郵件地址和公共 Trello 帳戶信息，其中包括用戶的全名。

這些信息可用于有針對性的網(wǎng)絡(luò)釣魚攻擊，以竊取更敏感的信息，如密碼。Emo 還表示，這些數(shù)據(jù)可用于 “dxxing”，使威脅行為者能夠?qū)㈦娮余]件地址與個(gè)人及其別名聯(lián)系起來。

Atlassian 今天向 BleepingComputer 證實(shí)，這些信息是通過 Trello REST API 收集的，該 API 于今年 1 月被加密。

他表示：在 Trello REST API 的支持下，Trello 用戶可以通過電子郵件地址邀請成員或訪客訪問其公共板塊。但是，鑒于 2024 年 1 月的調(diào)查中發(fā)現(xiàn)的對 API 的濫用，我們對 API 進(jìn)行了修改，使未經(jīng)身份驗(yàn)證的用戶/服務(wù)無法通過電子郵件請求其他用戶的公開信息。已通過身份驗(yàn)證的用戶仍可使用此 API 請求其他用戶配置文件中的公開信息。這一改動在防止濫用 API 和保持 “通過電子郵件邀請到公開討論區(qū) ”功能對用戶有效之間取得了平衡。后續(xù)將繼續(xù)監(jiān)控 API 的使用情況，并采取任何必要的措施。

如今，不安全的 API 已成為威脅行為者的熱門攻擊目標(biāo)，他們?yōu)E用 API 將電子郵件地址和電話號碼等非公開信息與公開資料相結(jié)合。

2021 年，有黑客曾濫用 API 將電話號碼與 Facebook 賬戶鏈接，創(chuàng)建了 5.33 億用戶的個(gè)人資料。

2022 年，Twitter 也曝出了類似的漏洞，黑客通過濫用 API 獲取到了數(shù)百萬用戶的電話號碼和電子郵件地址。

這些數(shù)據(jù)可以揭露在社交媒體上匿名發(fā)帖的人的身份，從而帶來巨大的隱私風(fēng)險(xiǎn)。

最近，有人利用不安全的 Twilio API 獲取了 3300 萬 Authy 多因素身份驗(yàn)證應(yīng)用程序用戶的電話號碼。目前有很多企業(yè)組織都試圖使用速率限制來保護(hù) API，而不再是通過 API 密鑰進(jìn)行身份驗(yàn)證。

但只要黑客購買數(shù)百個(gè)代理服務(wù)器，并輪流連接以不斷查詢 API，那么速率限制就會毫無用處。