Хакер продает за бесценок данные 15 млн пользователей Trello
С помощью незащищенного API злоумышленник смог проассоциировать миллионы почтовых адресов с данными пользователей популярной платформы Trello. Продать эти сведения он пытается уже второй раз.
Попытка номер два
На хакерский форум Breached выставлены для продажи данные более 15 млн пользователей платформы Trello, собранных через незащищенный API в январе 2024 г. Trello – это средство управления онлайн-проектами, принадлежащее на данный момент фирме Atlassian. Этот довольно популярный инструмент часто используется коммерческими фирмами для наглядного представления текущих задач.
Хакер по кличке emo уже второй раз пытается выставить эти адреса на продажу: первая попытка была предпринята в январе 2024 г. В Atlassian тогда заявили, что хакер собрал адреса из открытых источников. Сам хакер, однако, утверждает другое. По его словам, он воспользовался незащищенным REST API. Этот API предназначен для того, чтобы разработчики могли запрашивать публичную информацию о пользовательском профиле, используя идентификатор Trello, имя пользователя или почтовый адрес.
Сам хакер собрал список из 500 млн почтовых адресов и прогнал их через API, чтобы выяснить, связаны ли они с аккаунтами Trello. 15 миллионов оказались связанными, и emo скомбинировал их с полученной через API информацией.
На днях хакер выложил данные 15115516 аккаунтов на форум Breached, запросив за это 8 внутренних кредитов – примерно $ 2,32. По словам самого хакера, ему надоело сортировать собранную информацию.
API как проблема
Полученная информация может представлять для хакеров интерес лишь тем, что профили содержат полные имена. Впрочем, с помощью этих сведений можно попытаться выудить и более существенные данные, такие как пароли, или развернуть кампанию доксинга.
В Atlassian наконец-то признали, что REST API действительно не был защищен. Теперь это исправлено: неаутентифицированные пользователи больше не смогут использовать чужие почтовые адреса для запроса информации о других пользователях, даже публичной.
Изменения, впрочем, позволят сохранить функцию приглашения новых участников в Trello через почтовый адрес.
Facebook, Twitter, далее везде
Слабозащищенные API не впервые становятся источником проблем для крупных сервисов. В 2021 г. API Facebook использовались злоумышленниками для того, чтобы определить, какие телефонные номера относятся к каким аккаунтам в Facebook. Задеты оказались личные данные 533 млн пользователей. В 2022 г. аналогичная беда постигла Twitter: злоумышленники воспользовались слабым API для того, чтобы проассоциировать почтовые адреса, номера телефонов с аккаунтами миллионов пользователей.
API Twilio в недавнем прошлом был использован злоумышленниками, чтобы соотнести телефонные номера с аккаунтами приложения для многофакторной авторизации Authy. Затронутыми оказались 33 млн аккаунтов. Организации временами пытаются защититься от таких попыток, ограничивая количество возможных запросов к API с одного IP-адреса, но хакеры спокойно обходят это ограничение, используя сотни прокси-серверов.
Защитит только авторизация
«Единственный правильный способ противостоять подобному – это позволять только авторизованным пользователям отправлять запросы к API, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Прочие способы эффективны постольку-поскольку».
Эксперт отметил, что для хакеров интерес может представлять любая информация о пользователях, поскольку она может быть использована для убедительного фишинга, шантажа или каких-либо других недружественных действий. Ценность этой информации будет, впрочем, определяться ее конфиденциальностью и затратами на ее получение.