知名工具Trello被黑客攻击，泄露1500 万用户数据

Trello 是知名 Atlassian 旗下的一款在线项目管理工具 ，企业通常使用它将数据和任务组织到板块、工具卡片和列表中。被黑

近日 ，客攻有黑客发布了与 Trello 账户相关的击泄 1500 万个电子邮件地址，这些地址是露万今年 1 月被 API 收集到的 。当时有一个名为 “emo ”的用户威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。

虽然这些档案中的数据数据几乎都是模板下载公开信息，但每个档案还额外包含一个与账户相关的知名非公开电子邮件地址 。虽然 Trello 的工具所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但这些数据是被黑通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的客攻 Trello ID、用户名或电子邮件地址查询配置文件的击泄公共信息。

emo 创建了一个包含 5 亿个电子邮件地址的香港云服务器露万列表，并将其输入 API 以确定它们是用户否与 Trello 帐户有关联。然后将该列表与返回的账户信息相结合，创建了超过 1500 万用户的会员档案。

今天 ，emo 在 Breached 黑客论坛上以 8 个网站信用点 
，价值 2.32 美元的价格分享了15万个配置文件列表
。

emo在论坛帖子中解释道：Trello有一个开放的API端点，允许任何未经验证的用户将电子邮件地址映射到trello账户。我原本只打算向端点提供来自com（OGU 、亿华云RF 
、Breached 等）数据库的电子邮件 ，但我决定继续使用电子邮件 ，直到厌倦为止。

据悉，此次泄露的数据包括电子邮件地址和公共 Trello 帐户信息，其中包括用户的全名。

这些信息可用于有针对性的网络钓鱼攻击
，以窃取更敏感的信息 ，如密码
。Emo 还表示
，免费模板这些数据可用于 “dxxing”，使威胁行为者能够将电子邮件地址与个人及其别名联系起来。

Atlassian 今天向 BleepingComputer 证实
，这些信息是通过 Trello REST API 收集的，该 API 于今年 1 月被加密
。

他表示 ：在 Trello REST API 的支持下 ，Trello 用户可以通过电子邮件地址邀请成员或访客访问其公共板块 。但是，鉴于 2024 年 1 月的调查中发现的对 API 的滥用 ，建站模板我们对 API 进行了修改，使未经身份验证的用户/服务无法通过电子邮件请求其他用户的公开信息
。已通过身份验证的用户仍可使用此 API 请求其他用户配置文件中的公开信息。这一改动在防止滥用 API 和保持 “通过电子邮件邀请到公开讨论区 ”功能对用户有效之间取得了平衡
。后续将继续监控 API 的使用情况，并采取任何必要的措施。

如今 ，不安全的 API 已成为威胁行为者的热门攻击目标，源码库他们滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。

2021 年 ，有黑客曾滥用 API 将电话号码与 Facebook 账户链接 ，创建了 5.33 亿用户的个人资料 。

2022 年，Twitter 也曝出了类似的漏洞，黑客通过滥用 API 获取到了数百万用户的电话号码和电子邮件地址
。

这些数据可以揭露在社交媒体上匿名发帖的人的身份 ，从而带来巨大的隐私风险 。

最近
，有人利用不安全的 Twilio API 获取了 3300 万 Authy 多因素身份验证应用程序用户的电话号码。目前有很多企业组织都试图使用速率限制来保护 API，而不再是通过 API 密钥进行身份验证。

但只要黑客购买数百个代理服务器 ，并轮流连接以不断查询 API，那么速率限制就会毫无用处。