一名黑客通过利用不安全的 API 收集到与 Trello 账户相关的 1500 多万个会员的电子邮件地址,该数据现已于暗网出售。
据悉,一名黑客发布了与 Trello 账户相关的 1500 多万个电子邮件地址,这些地址是黑客于今年 1 月利用不安全的 API 收集到的。
Trello 是 Atlassian 旗下的一款在线项目管理工具,企业通常利用该工具将数据和任务组织到板块、卡片和列表中。
今年 1 月,BleepingComputer 报道称,一名黑客在一个流行黑客论坛上出售 15115516 名 Trello 会员的资料。
尽管这些档案中的数据几乎已全公开,但每个档案还包含一个与账户相关的非公开电子邮件地址。
虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的,但该黑客告诉 BleepingComputer,这些数据是通过一个不安全的 REST API 收集的,该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询个人资料的公共信息。
这名黑客创建了一个包含 5 亿个电子邮件地址的列表,并将其输入 API 以确定它们是否与 Trello 账户关联。接着,将该列表与返回的账户信息相结合,创建了超过 1500 万用户的会员档案。
目前,黑客在 Breached 论坛上以 8 个网站信用点(价值 2.32 美元)的价格出售 15115516 个配置文件的整个列表。
他在论坛帖子中解释道:“Trello 有一个开放的 API 端点,允许任何未经验证的用户将电子邮件地址映射到一个 trello 账户。”
黑客在论坛上发布的帖子截图
泄露的数据包括电子邮件地址和公共 Trello 账户信息,其中包括用户的全名。
这些信息可用于有针对性的网络钓鱼攻击,从而窃取更为敏感的信息(如密码)。该黑客还表示,这些数据可用于 “dxxing”,黑客能够将电子邮件地址与个人及其别名联系起来。
Atlassian 证实道,这些信息是通过 Trello REST API 收集的,该 API 于今年 1 月被加密。
Atlassian 表示:”在 Trello REST API 的支持下,Trello 用户可以通过电子邮件地址邀请成员,或者通过访客访问其公共板块。但由于 2024 年 1 月的调查发现 API 的滥用,我们对 API 进行了修改,未经身份验证的用户或服务无法通过电子邮件请求其他用户的公开信息。而已通过身份验证的用户仍可使用此 API 请求其他用户配置文件中的公开信息。这一改动在防止滥用 API 和保持’通过电子邮件邀请到公开讨论区‘功能对用户有效之间取得了平衡。我们将继续监督 API 的使用情况,并采取任何必要的措施。”
不安全的 API 已成为黑客的热门攻击目标,他们通过滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。而很多人都会在社交媒体上匿名发帖,这些内容都有可能暴露个人数据,从而造成了巨大的隐私风险。
2021 年,黑客滥用 API 将电话号码与 Facebook 账户链接,创建了 5.33 亿用户的个人资料。2022 年,Twitter 也发现了类似的漏洞,黑客滥用不安全的 API,将电话号码和电子邮件地址链接到数百万用户的账户。近期,一个不安全的 Twilio API 被用来确认 3300 万 Authy 多因素身份验证应用程序用户的电话号码。
很多组织制不通过 API 密钥进行身份验证,而是使用速率限制来保护 API。然而,黑客只需购买数百个代理服务器,并轮流连接来查询 API,就能够让速率限制毫无用处。
(转载请注明出处@安全威胁纵横,本文来源:https://www.bleepingcomputer.com/news/security/email-addresses-of-15-million-trello-users-leaked-on-hacking-forum/)
原文始发于微信公众号(安全威胁纵横):1500 万 Trello 用户电子邮件地址泄露,现于暗网出售
