15 triệu người dùng Trello bị rò rỉ dữ liệu cá nhân trên diễn đàn ngầm

www.tuoitre.vn -   16/07/2024 12:00:00 124

Một tin tặc chưa rõ danh tính mới đây đã phát hành công khai hơn 15 triệu địa chỉ email liên kết với tài khoản Trello trên một diễn đàn ngầm. Thông tin tiết lộ ban đầu cho thấy kho dữ liệu được thu thập bằng API không bảo mật đầu năm nay.

15 triệu người dùng Trello bị rò rỉ dữ liệu cá nhân trên diễn đàn ngầm

Trello là một công cụ quản lý dự án trực tuyến thuộc sở hữu của Atlassian. Các doanh nghiệp thường sử dụng công cụ để sắp xếp dữ liệu và nhiệm vụ thành bảng, thẻ và danh sách. Ưu điểm của Trello là giúp dễ dàng để chỉ ra quy trình làm việc, quyền sở hữu dự án và tình trạng hoàn thiện.

Trước đó vào tháng 1, BleepingComputer đã báo cáo rằng một kẻ đe dọa có nickname 'emo' đang rao bán hồ sơ của 15.115.516 thành viên Trello trên một diễn đàn hack nổi tiếng. Mặc dù hầu hết dữ liệu trong các hồ sơ này đều là thông tin công khai, nhưng mỗi hồ sơ cũng chứa một địa chỉ email riêng tư được liên kết với tài khoản.

Mặc dù Atlassian, chủ sở hữu của Trello, không xác nhận tại thời điểm dữ liệu bị đánh cắp như thế nào, nhưng chính hacker đã tiết lộ rằng dữ liệu được thu thập bằng API REST không bảo mật, cho phép các nhà phát triển truy vấn thông tin công khai về hồ sơ dựa trên ID Trello, tên người dùng, hoặc địa chỉ email.

15 triệu người dùng Trello bị rò rỉ dữ liệu cá nhân trên diễn đàn ngầm

emo đã tạo danh sách 500 triệu địa chỉ email và đưa vào API để xác định xem chúng có được liên kết với tài khoản Trello hay không. Danh sách này sau đó được kết hợp với thông tin tài khoản được trả về để tạo hồ sơ thành viên cho hơn 15 triệu người dùng. emo hiện đã chia sẻ toàn bộ danh sách 15.115.516 hồ sơ trên diễn đàn hack Breached để lấy 8 tín dụng trang web (trị giá 2,32 USD).

"Trello có điểm cuối API mở cho phép bất kỳ người dùng chưa được xác thực nào ánh xạ địa chỉ email tới tài khoản trello", emo giải thích trong bài đăng trên diễn đàn. "Ban đầu tôi chỉ định cung cấp các email điểm cuối từ cơ sở dữ liệu 'com' (OGU, RF, Breached, v.v.) nhưng tôi quyết định tiếp tục sử dụng email cho đến khi thấy chán".

Dữ liệu bị rò rỉ bao gồm địa chỉ email và thông tin tài khoản Trello công khai, bao gồm cả tên đầy đủ của người dùng.

Thông tin này có thể được sử dụng trong các cuộc tấn công lừa đảo có chủ đích để lấy cắp dữ liệu nhạy cảm hơn, chẳng hạn như mật khẩu. emo cũng cho biết dữ liệu có thể được sử dụng để thực hiện hành vi doxxing, cho phép các tác nhân đe dọa liên kết địa chỉ email với mọi người và bí danh của họ. Atlassian hiện cũng đã xác nhận thông tin về vụ việc.

Các API không bảo mật đã trở thành mục tiêu phổ biến của hacker, những kẻ biết cách lạm dụng chúng để kết hợp thông tin không công khai, chẳng hạn như địa chỉ email và số điện thoại, với hồ sơ công khai.

Vào năm 2021, một nhóm tin tặc đã lạm dụng API để liên kết số điện thoại với tài khoản Facebook, tạo hồ sơ cho 533 triệu người dùng.

Trong năm 2022, Twitter cũng gặp phải một vụ vi phạm tương tự khi những kẻ đe dọa lạm dụng API không bảo mật để liên kết số điện thoại và địa chỉ email với hàng triệu người dùng nền tảng mạng xã hội này. gây ra rủi ro đáng kể về quyền riêng tư.

Nhiều tổ chức cố gắng bảo mật API bằng cách sử dụng giới hạn tốc độ thay vì thông qua xác thực thông qua khóa API.

Tuy nhiên, kẻ tấn công chỉ cần mua hàng trăm máy chủ proxy và luân chuyển các kết nối để liên tục truy vấn API, khiến việc giới hạn tốc độ trở nên vô dụng.

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 50
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 81
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 83
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ