Bir tehdit oyuncusu, Ocak ayında teminatsız bir API kullanılarak toplanan Trello hesaplarıyla ilişkili 15 milyondan fazla e -posta adresi yayınladı.
Trello, Atlassian'a ait bir çevrimiçi proje yönetimi aracıdır. İşletmeler genellikle veri ve görevleri panolara, kartlara ve listelere düzenlemek için kullanırlar.
Ocak ayında BleepingComputer, 'Emo' olarak bilinen bir tehdit aktörünün popüler bir hack forumunda 15.115.516 Trello üyesi için profil sattığını bildirdi.
Bu profillerdeki verilerin neredeyse tamamı genel bilgiler olsa da, her profil ayrıca hesapla ilişkili halka açık olmayan bir e-posta adresi de içeriyordu.
Trello'nun sahibi Atlassian, verilerin nasıl çalındığını doğrulamamış olsa da, EMO, BleepingComputer'a, geliştiricilerin kullanıcıların Trello kimliğine dayalı bir profil hakkında kamuya açık bilgi için sorgulamasına izin veren teminatsız bir dinlenme API'sı kullanılarak toplandığını söyledi. veya e -posta adresi.
Emo, 500 milyon e -posta adresi listesi oluşturdu ve bir Trello hesabına bağlı olup olmadıklarını belirlemek için API'ya beslendi. Liste daha sonra 15 milyondan fazla kullanıcı için üye profilleri oluşturmak için iade edilen hesap bilgileri ile birleştirildi.
Bugün Emo, sekiz site kredisi (2.32 $ değerinde) için ihlal edilen hack forumundaki 15.115.516 profil listesini paylaştı.
Emo, "Trello'nun, herhangi bir yetkili olmayan kullanıcının bir e -posta adresini bir Trello hesabına eşlemesine izin veren açık bir API uç noktası vardı."
"Başlangıçta sadece 'com' (ogu, rf, ihlal vb.
Sızan veriler, kullanıcının tam adı da dahil olmak üzere e -posta adreslerini ve genel Trello hesap bilgilerini içerir.
Bu bilgiler, şifreler gibi daha hassas bilgileri çalmak için hedeflenen kimlik avı saldırılarında kullanılabilir. EMO ayrıca verilerin Doxxing için kullanılabileceğini ve tehdit aktörlerinin e -posta adreslerini insanlara ve takma adlarına bağlamasına izin verdiğini söylüyor.
Atlassian, BleepingComputer'a bugün bilgilerin Ocak ayında güvence altına alınan bir Trello Rest API ile toplandığını doğruladı.
"Trello Rest API tarafından etkinleştirilen Trello kullanıcıları, üyeleri veya konukları genel kurullarına e -posta adresi ile davet etmelerini sağladı. Ancak, bu Ocak 2024 soruşturmasında ortaya çıkan API'nin kötüye kullanılması göz önüne alındığında, bir değişiklik yaptık, böylece yetkilenmemiş bir değişiklik yaptık. Kullanıcılar/Hizmetler, kimlik doğrulamalı kullanıcılar, bu API'yi kullanarak başka bir kullanıcının profilinde kamuya açık olan bilgileri isteyebilir. E -posta ile 'Kullanıcılarımız için çalışıyor.
Teminatsız API'lar, e-posta adresleri ve telefon numaraları gibi halka açık olmayan bilgileri kamu profilleriyle birleştirmek için kötüye kullanan tehdit aktörleri için popüler bir hedef haline gelmiştir.
2021'de tehdit aktörleri, telefon numaralarını Facebook hesaplarına bağlamak için bir API istismar etti ve 533 milyon kullanıcı için profil oluşturdu.
2022'de Twitter, tehdit aktörleri telefon numaralarını ve e -posta adreslerini milyonlarca kullanıcıya bağlamak için teminatsız bir API'yi istismar ettiğinde benzer bir ihlal yaşadı.
Birçok kişi sosyal medyada anonim olarak yayınladığı için, bu veriler bu insanların maskelenmesine izin verdi ve önemli bir gizlilik riski oluşturdu.
Daha yakın zamanlarda, 33 milyon Authy çok faktörlü kimlik doğrulama uygulaması kullanıcılarının telefon numaralarını onaylamak için güvenli olmayan bir Twilio API kullanıldı.
Birçok kuruluş, API anahtarı aracılığıyla kimlik doğrulama yerine hız sınırlama kullanarak API'leri güvence altına almaya çalışır.
Bununla birlikte, tehdit aktörleri sadece yüzlerce proxy sunucusu satın alır ve API'yi sürekli olarak sorgulamak için bağlantıları döndürür ve oranı sınırlandıran oranı işe yaramaz hale getirir.
400.000'den fazla Life360 kullanıcı telefon numarası, teminatsız API üzerinden sızdı
Shopify, saldırıya uğradığını inkar ediyor, çalınan verileri üçüncü taraf uygulamaya bağlar
Bilgisayar korsanları, milyonlarca Authy MFA telefon numarasını doğrulamak için API'yi istismar etti
Neiman Marcus, kar tanesi hesabı saldırısından sonra veri ihlalini onayladı
İleri Otomatik Parçalar Veri ihlali maruz kalan çalışan bilgilerini onaylar
Kaynak: Bleeping Computer