Trello 是 Atlassian 旗下的一款在線項目管理工具，企業通常使用它將數據和任務組織到板塊、卡片和列表中。

近日，有黑客發布了與 Trello 賬戶相關的 1500 萬個電子郵件地址，這些地址是今年 1 月被 API 收集到的。當時有一個名為 “emo ”的威脅行為者在一個流行的黑客論壇上出售 15 萬個 Trello 會員的資料。

雖然這些檔案中的數據幾乎都是公開信息，但每個檔案還額外包含一個與賬戶相關的非公開電子郵件地址。雖然 Trello 的所有者 Atlassian 當時并未證實這些數據是如何被竊取的，但這些數據是通過一個不安全的 REST API 收集的，該 API 允許開發人員根據用戶的 Trello ID、用戶名或電子郵件地址查詢配置文件的公共信息。

emo 創建了一個包含 5 億個電子郵件地址的列表，并將其輸入 API 以確定它們是否與 Trello 帳戶有關聯。然后將該列表與返回的賬戶信息相結合，創建了超過 1500 萬用戶的會員檔案。

今天，emo 在 Breached 黑客論壇上以 8 個網站信用點，價值 2.32 美元的價格分享了15萬個配置文件列表。

emo在論壇帖子中解釋道：Trello有一個開放的API端點，允許任何未經驗證的用戶將電子郵件地址映射到trello賬戶。我原本只打算向端點提供來自'com'（OGU、RF、Breached 等）數據庫的電子郵件，但我決定繼續使用電子郵件，直到厭倦為止。

據悉，此次泄露的數據包括電子郵件地址和公共 Trello 帳戶信息，其中包括用戶的全名。

這些信息可用于有針對性的網絡釣魚攻擊，以竊取更敏感的信息，如密碼。Emo 還表示，這些數據可用于 “dxxing”，使威脅行為者能夠將電子郵件地址與個人及其別名聯系起來。

Atlassian 今天向 BleepingComputer 證實，這些信息是通過 Trello REST API 收集的，該 API 于今年 1 月被加密。

他表示：在 Trello REST API 的支持下，Trello 用戶可以通過電子郵件地址邀請成員或訪客訪問其公共板塊。但是，鑒于 2024 年 1 月的調查中發現的對 API 的濫用，我們對 API 進行了修改，使未經身份驗證的用戶/服務無法通過電子郵件請求其他用戶的公開信息。已通過身份驗證的用戶仍可使用此 API 請求其他用戶配置文件中的公開信息。這一改動在防止濫用 API 和保持 “通過電子郵件邀請到公開討論區 ”功能對用戶有效之間取得了平衡。后續將繼續監控 API 的使用情況，并采取任何必要的措施。

如今，不安全的 API 已成為威脅行為者的熱門攻擊目標，他們濫用 API 將電子郵件地址和電話號碼等非公開信息與公開資料相結合。

2021 年，有黑客曾濫用 API 將電話號碼與 Facebook 賬戶鏈接，創建了 5.33 億用戶的個人資料。

2022 年，Twitter 也曝出了類似的漏洞，黑客通過濫用 API 獲取到了數百萬用戶的電話號碼和電子郵件地址。

這些數據可以揭露在社交媒體上匿名發帖的人的身份，從而帶來巨大的隱私風險。

最近，有人利用不安全的 Twilio API 獲取了 3300 萬 Authy 多因素身份驗證應用程序用戶的電話號碼。目前有很多企業組織都試圖使用速率限制來保護 API，而不再是通過 API 密鑰進行身份驗證。

但只要黑客購買數百個代理服務器，并輪流連接以不斷查詢 API，那么速率限制就會毫無用處。