Dữ liệu cá nhân của 15 triệu người dùng Trello bị rò rỉ trên diễn đàn hack

Một tin tặc chưa rõ danh tính mới đây đã phát hành công khai hơn 15 triệu địa chỉ email liên kết với tài khoản Trello trên một diễn đàn hack. Thông tin tiết lộ ban đầu cho thấy kho dữ liệu được thu thập bằng API không bảo mật đầu năm nay.

Trello là một công cụ quản lý dự án trực tuyến thuộc sở hữu của Atlassian. Các doanh nghiệp thường sử dụng công cụ để sắp xếp dữ liệu và nhiệm vụ thành bảng, thẻ và danh sách. Ưu điểm của Trello là giúp dễ dàng để chỉ ra quy trình làm việc, quyền sở hữu dự án và tình trạng hoàn thiện.

Trước đó vào tháng 1, BleepingComputer đã báo cáo rằng một kẻ đe dọa có nickname 'emo' đang rao bán hồ sơ của 15.115.516 thành viên Trello trên một diễn đàn hack nổi tiếng. Mặc dù hầu hết dữ liệu trong các hồ sơ này đều là thông tin công khai, nhưng mỗi hồ sơ cũng chứa một địa chỉ email riêng tư được liên kết với tài khoản.

Mặc dù Atlassian, chủ sở hữu của Trello, không xác nhận tại thời điểm dữ liệu bị đánh cắp như thế nào, nhưng chính hacker đã tiết lộ rằng dữ liệu được thu thập bằng API REST không bảo mật, cho phép các nhà phát triển truy vấn thông tin công khai về hồ sơ dựa trên ID Trello, tên người dùng, hoặc địa chỉ email.

emo đã tạo danh sách 500 triệu địa chỉ email và đưa vào API để xác định xem chúng có được liên kết với tài khoản Trello hay không. Danh sách này sau đó được kết hợp với thông tin tài khoản được trả về để tạo hồ sơ thành viên cho hơn 15 triệu người dùng. emo hiện đã chia sẻ toàn bộ danh sách 15.115.516 hồ sơ trên diễn đàn hack Breached để lấy 8 tín dụng trang web (trị giá 2,32 USD).

"Trello có điểm cuối API mở cho phép bất kỳ người dùng chưa được xác thực nào ánh xạ địa chỉ email tới tài khoản trello", emo giải thích trong bài đăng trên diễn đàn. "Ban đầu tôi chỉ định cung cấp các email điểm cuối từ cơ sở dữ liệu 'com' (OGU, RF, Breached, v.v.) nhưng tôi quyết định tiếp tục sử dụng email cho đến khi thấy chán".

Dữ liệu bị rò rỉ bao gồm địa chỉ email và thông tin tài khoản Trello công khai, bao gồm cả tên đầy đủ của người dùng.

Thông tin này có thể được sử dụng trong các cuộc tấn công lừa đảo có chủ đích để lấy cắp dữ liệu nhạy cảm hơn, chẳng hạn như mật khẩu. emo cũng cho biết dữ liệu có thể được sử dụng để thực hiện hành vi doxxing, cho phép các tác nhân đe dọa liên kết địa chỉ email với mọi người và bí danh của họ. Atlassian hiện cũng đã xác nhận thông tin về vụ việc.

Các API không bảo mật đã trở thành mục tiêu phổ biến của hacker, những kẻ biết cách lạm dụng chúng để kết hợp thông tin không công khai, chẳng hạn như địa chỉ email và số điện thoại, với hồ sơ công khai.

Vào năm 2021, một nhóm tin tặc đã lạm dụng API để liên kết số điện thoại với tài khoản Facebook, tạo hồ sơ cho 533 triệu người dùng.

Trong năm 2022, Twitter cũng gặp phải một vụ vi phạm tương tự khi những kẻ đe dọa lạm dụng API không bảo mật để liên kết số điện thoại và địa chỉ email với hàng triệu người dùng nền tảng mạng xã hội này. gây ra rủi ro đáng kể về quyền riêng tư.

Nhiều tổ chức cố gắng bảo mật API bằng cách sử dụng giới hạn tốc độ thay vì thông qua xác thực thông qua khóa API.

Tuy nhiên, kẻ tấn công chỉ cần mua hàng trăm máy chủ proxy và luân chuyển các kết nối để liên tục truy vấn API, khiến việc giới hạn tốc độ trở nên vô dụng.