Trello 是 Atlassian 旗下的一款在线步地惩办器具,企业常常使用它将数据和任务组织到板块、卡片和列表中。
近日,有黑客发布了与 Trello 账户关系的 1500 万个电子邮件地址,这些地址是本年 1 月被 API 汇集到的。其时有一个名为 “emo ”的威迫动作者在一个流行的黑客论坛上出售 15 万个 Trello 会员的费力。
固然这些档案中的数据竟然齐是公开信息,但每个档案还颠倒包含一个与账户关系的非公开电子邮件地址。固然 Trello 的通盘者 Atlassian 其时并未阐发这些数据是若何被窃取的,但这些数据是通过一个不安全的 REST API 汇集的,该 API 允许竖立东说念主员证据用户的 Trello ID、用户名或电子邮件地址查询设立文献的大家信息。
emo 创建了一个包含 5 亿个电子邮件地址的列表,并将其输入 API 以细目它们是否与 Trello 帐户关联联。然后将该列表与复返的账户信息相聚会,创建了超过 1500 万用户的会员档案。
今天,emo 在 Breached 黑客论坛上以 8 个网站信用点,价值 2.32 好意思元的价钱共享了15万个设立文献列表。
mo在论坛帖子中评释说念:Trello有一个通达的API端点,允许任何未警戒证的用户将电子邮件地址映射到trello账户。我原来只蓄意向端点提供来自'com'(OGU、RF、Breached 等)数据库的电子邮件,但我决定继续使用电子邮件,直到厌倦为止。
据悉,这次露馅的数据包括电子邮件地址和大家 Trello 帐户信息,其中包括用户的全名。
这些信息可用于有针对性的汇集垂钓挫折,以窃取更敏锐的信息,如密码。Emo 还示意,这些数据可用于 “dxxing”,使威迫动作者大要将电子邮件地址与个东说念主过火别号谈判起来。
Atlassian 今天向 BleepingComputer 阐发,这些信息是通过 Trello REST API 汇集的,该 API 于本年 1 月被加密。
他示意:在 Trello REST API 的扶持下,Trello 用户不错通过电子邮件地址邀请成员或访客拜访其大家板块。然则,鉴于 2024 年 1 月的窥伺中发现的对 API 的销耗,咱们对 API 进行了修改,使未经身份考证的用户/干事无法通过电子邮件央求其他用户的公开信息。已通过身份考证的用户仍可使用此 API 央求其他用户设立文献中的公开信息。这一更动在醒目销耗 API 和保捏 “通过电子邮件邀请到公开商议区 ”功能对用户有用之间取得了均衡。后续将继续监控 API 的使用情况,并摄取任何苦要的次第。
如今,不安全的 API 已成为威迫动作者的热点挫折观念,他们销耗 API 将电子邮件地址和电话号码等非公开信息与公开费力相聚会。
2021 年,有黑客曾销耗 API 将电话号码与 Facebook 账户流畅,创建了 5.33 亿用户的个东说念主费力。
2022 年,Twitter 也曝出了访佛的粗心,黑客通过销耗 API 赢得到了数百万用户的电话号码和电子邮件地址。
这些数据不错揭露在外交媒体上匿名发帖的东说念主的身份,从而带来纷乱的秘籍风险。
最近,有东说念主行使不安全的 Twilio API 赢得了 3300 万 Authy 多身分身份考证应用本事用户的电话号码。当今有许多企业组织齐试图使用速度适度来保护 API,而不再是通过 API 密钥进行身份考证。
但惟一黑客购买数百个代理干事器,并按序联结以不断查询 API,那么速度适度就会绝不必处。
