Престъпен колектив е публикувал над 15 милиона имейл адреса, свързани с акаунти в Trello, които са били събрани чрез незащитен API през януари.
Trello е онлайн инструмент за управление на проекти, собственост на Atlassian. Предприятията обикновено го използват, за да организират данни и задачи в табла, карти и списъци.
Макар че почти всички данни в тези профили са публична информация, всеки профил е съдържал и непубличен имейл адрес, свързан с акаунта.
Макар че Atlassian, собственикът на Trello, не потвърди тогава как са били откраднати данните, emo заяви, че те са били събрани с помощта на незащитен REST API, който позволява на разработчиците да правят заявки за публична информация за даден профил въз основа на Trello ID, потребителско име или имейл адрес на потребителите.
emo е създала списък с 500 милиона имейл адреса и го е подала към API, за да определи дали те са свързани с профил в Trello. След това списъкът беше комбиниран с върнатата информация за акаунта, за да се създадат профили на членове за над 15 милиона потребители.
Днес emo сподели целия списък с 15 115 516 профила в хакерския форум Breached срещу осем кредита за сайта (на стойност 2,32 USD).
„Trello имаше отворена крайна точка на API, която позволява на всеки неавтентифициран потребител да съпостави имейл адрес с профил в Trello“, обяснява emo в публикацията във форума.
„Първоначално възнамерявах да захранвам крайната точка само с имейли от „com“ (OGU, RF, Breached и т.н.) бази данни, но просто реших да продължа с имейли, докато не ми омръзне.“
Изтеклите данни включват имейл адреси и информация за публични акаунти в Trello, включително пълното име на потребителя.
Тази информация може да бъде използвана при целенасочени фишинг атаки за кражба на по-чувствителна информация, като например пароли. emo също така казва, че данните могат да бъдат използвани за doxxing, което позволява на заплахите да свържат имейл адресите с хора и техните псевдоними.
Незащитените API се превърнаха в популярна цел за различните заплахи, които злоупотребяват с тях, за да комбинират непублична информация, като например имейл адреси и телефонни номера, с публични профили.
През 2021 г. заплахи злоупотребиха с API, за да свържат телефонни номера с профили във Facebook, създавайки профили за 533 милиона потребители.
През 2022 г. Twitter претърпя подобен пробив, когато извършителите на заплахи злоупотребиха с незащитен API, за да свържат телефонни номера и имейл адреси на милиони потребители.
Тъй като много хора публикуват анонимно в социалните медии, тези данни позволиха разобличаването на тези хора, което представляваше значителен риск за неприкосновеността на личния живот.
Неотдавна незащитено API на Twilio беше използвано за потвърждаване на телефонните номера на 33 милиона потребители на приложението за многофакторно удостоверяване Authy.
Много организации се опитват да защитят API чрез ограничаване на скоростта, а не чрез удостоверяване чрез API ключ.
Заплахите обаче просто купуват стотици прокси сървъри и променят връзките, за да правят постоянни заявки към API, което прави ограничаването на скоростта безполезно.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.