脅威者は、1月に安全でないAPIを使用して収集されたTrelloアカウントに関連する1500万人以上の電子メールアドレスを公開した。
TrelloはAtlassianが所有するオンラインプロジェクト管理ツールである。企業は一般的に、データやタスクをボード、カード、リストに整理するためにTrelloを使用しています。
1月には、「emo」として知られる脅威行為者が、人気のあるハッキングフォーラムで15,115,516人のTrelloメンバーのプロフィールを販売していたことが 報告された。
これらのプロフィールに含まれるデータのほぼすべてが公開情報である一方、各プロフィールには、アカウントに関連付けられた非公開の電子メールアドレスも含まれていた。
Trelloの所有者であるAtlassianは当時、データがどのように盗まれたかを確認しなかったが、emoは、開発者がユーザーのTrello ID、ユーザー名、または電子メールアドレスに基づいてプロファイルに関する公開情報を照会できる、安全でないREST APIを使用して収集されたと語った。
emoは5億の電子メールアドレスのリストを作成し、Trelloアカウントにリンクされているかどうかを判断するためにAPIに入力した。そして、そのリストと返されたアカウント情報を組み合わせて、1500万人以上のユーザーのメンバープロフィールを作成しました。
今日、emoは15,115,516人のプロファイルの全リストをBreachされたハッキングフォーラムで8サイトクレジット(2.32ドル相当)で共有した。
「Trelloには、認証されていないユーザーでもメールアドレスをTrelloアカウントにマッピングできるオープンAPIエンドポイントがありました」とemoはフォーラムの投稿で説明している。
“当初は、”com”(OGU、RF、Breachedなど)のデータベースからのEメールだけをエンドポイントに送るつもりでしたが、飽きるまでEメールを使い続けることにしました。”
流出したデータには、メールアドレスと、ユーザーのフルネームを含む公開Trelloアカウント情報が含まれている。
この情報は、パスワードなど、より機密性の高い情報を盗むための標的型フィッシング攻撃に使用することができます。emoはまた、脅威行為者が電子メールアドレスと人々やそのエイリアスを結びつけることを可能にする、doxingにデータを使用することができると述べています。
アトラシアンは本日、この情報が1月に保護されたTrello REST APIを通じて収集されたことを確認した。
「Trello REST APIによって、Trelloユーザーはメールアドレスによって公開ボードにメンバーやゲストを招待できるようになりました。しかし、2024年1月の調査でAPIの悪用が発覚したため、認証されていないユーザー/サービスは他のユーザーの公開情報をメールでリクエストできないように変更しました。認証されたユーザーは、このAPIを使用して、他のユーザーのプロフィールで公開されている情報をリクエストすることができます。この変更は、APIの悪用を防ぐと同時に、「電子メールによる公開掲示板への招待」機能をユーザーのために機能させ続けることのバランスを取るものです。引き続きAPIの利用状況を監視し、必要な措置を講じていきます。”
アトラシアン
セキュリティで保護されていないAPIは脅威行為者の人気のターゲットとなっており、彼らはAPIを悪用してメールアドレスや電話番号などの非公開情報を公開プロフィールと組み合わせている。
2021年には、脅威行為者がAPIを悪用して電話番号をFacebookアカウントにリンクさせ、5億3300万人のユーザーのプロフィールを作成しました。
2022年、脅威行為者が安全でないAPIを悪用し、数百万人のユーザーに電話番号と電子メールアドレスをリンクさせたため、Twitterは同様の侵害に見舞われた。
多くの人々が匿名でソーシャルメディアに投稿しているため、このデータによってこれらの人々のマスクが剥がされ、重大なプライバシーリスクがもたらされた。
さらに最近では、安全でないTwilio APIが、3,300万人のAuthy多要素認証アプリユーザーの電話番号を確認するために使用されました。
多くの組織では、APIキーによる認証ではなく、レート制限を使ってAPIの安全性を確保しようとしている。
しかし、脅威行為者は単に何百ものプロキシサーバーを購入し、APIに常に問い合わせるために接続をローテーションさせ、レート制限を無意味なものにしてしまう。
Comments