یک هکر بیش از ۱۵ میلیون آدرس ایمیل مرتبط با حسابهای Trello را منتشر کرد که با استفاده از یک API ناامن در ژانویه جمعآوری شدهاند.
Trello یکی از بهترین ابزارهای ارتباط هماهنگ است. به اینصورت که یک شخص، تیم یا مجموعه می تواند تمام یا بخش قابل توجهی از پروژه و برنامه ها را در آن قرار داده و مدیریت کند.
به گزارش کارشناسان امنیت سایبری در ژانویه، هکر معروفی به نام emo در حال فروش اطلاعات ۱۵٫۱۱۵٫۵۱۶ عضو Trello در یک فروم هک می باشد.
بیشتر اطلاعات پروفایلها برای عموم قابل دسترسی است، اما هر پروفایل شامل یک آدرس ایمیل است که عمومی نیست و تنها برای صاحب حساب یا افراد خاصی قابل مشاهده است.
در حالی که شرکت Atlassian، مالک Trello، در آن زمان تأیید نکرد که دادهها چگونه به سرقت رفتهاند، اما “emo” تاکید کرد که این دادهها با استفاده از یک رابط برنامهنویسی کاربردی (API) ناامن جمعآوری شدهاند که به توسعهدهندگان اجازه میداد اطلاعات عمومی یک پروفایل را بر اساس شناسه Trello کاربران، نام کاربری، یا آدرس ایمیل پرسوجو کنند.
“emo” یک فهرست شامل ۵۰۰ میلیون آدرس ایمیل ایجاد کرد و آن را به API وارد کرد تا بررسی کند که آیا این آدرسها به یک حساب Trello مرتبط هستند یا خیر. سپس این فهرست با اطلاعات حسابهای بازگشتی ترکیب شد تا پروفایلهای اعضا برای بیش از ۱۵ میلیون کاربر ایجاد شود.
“emo” تمامی پروفایلهای جمعآوری شده را در یک انجمن هکری منتشر کرد و برای این کار معادل ۲.۳۲ دلار اعتبار سایت دریافت کرد.
“emo” در یک پست انجمن توضیح داد که Trello یک API باز دارد که به هر کسی بدون نیاز به ورود یا تأیید هویت اجازه میدهد تا با استفاده از یک آدرس ایمیل، حسابهای Trello مربوطه را پیدا کند.
ابتدا برنامه “emo” این بود که فقط از ایمیلهای موجود در پایگاههای داده مشخصی استفاده کند، اما بعداً تصمیم گرفت تا زمانی که خسته شود، به افزودن ایمیلهای بیشتری ادامه دهد.
داده های لو رفته شامل آدرس های ایمیل و اطلاعات حساب عمومی Trello، از جمله نام کامل کاربر است.
این اطلاعات میتواند در حملات فیشینگ هدفمند برای سرقت اطلاعات حساستر، مانند رمز عبور، استفاده شود. “emo” همچنین میگوید که این دادهها میتوانند برای doxxing (افشای اطلاعات شخصی) استفاده شوند و به مهاجمان اجازه دهند که آدرسهای ایمیل را به افراد و نامهای مستعار آنها مرتبط کنند.
Atlassian افزود:
به کمک API REST Trello، کاربران Trello میتوانند اعضا یا مهمانان را با استفاده از آدرس ایمیل به بوردهای عمومی خود دعوت کنند. با این حال، با توجه به سوءاستفادهای که در این تحقیقات ژانویه ۲۰۲۴ کشف شد، تغییری در API اعمال کردیم تا کاربران/سرویسهای بدون احراز هویت نتوانند اطلاعات عمومی کاربر دیگری را با استفاده از آدرس ایمیل درخواست کنند. کاربران احراز هویت شده همچنان میتوانند اطلاعاتی که به صورت عمومی در پروفایل کاربر دیگری موجود است را با استفاده از این API درخواست کنند. این تغییر تعادلی بین جلوگیری از سوءاستفاده از API و حفظ ویژگی ‘دعوت به بورد عمومی با ایمیل’ برای کاربران ما برقرار میکند. ما به نظارت بر استفاده از API ادامه خواهیم داد و اقدامات لازم را انجام خواهیم داد.
API های ناامن به یک هدف محبوب برای هکرها تبدیل شده اند که از آنها برای ترکیب اطلاعات غیر عمومی مانند آدرس ایمیل و شماره تلفن با پروفایل های عمومی سوء استفاده می کنند.
در سال ۲۰۲۱، هکرها از یک API برای پیوند شماره تلفن به حساب های فیس بوک سوء استفاده کردند و برای ۵۳۳ میلیون کاربر پروفایل ایجاد کردند.
در سال ۲۰۲۲، زمانی که هکرها از یک API ناامن برای پیوند دادن شماره تلفن و آدرس ایمیل به میلیونها کاربر سوءاستفاده کردند، توییتر دچار نقض مشابهی شد.
چون بسیاری از کاربران در شبکههای اجتماعی بدون فاش کردن هویت واقعی خود فعالیت میکنند، این دادهها میتوانند هویت واقعی آنها را آشکار کنند و بدین ترتیب خطر بزرگی برای حفظ حریم خصوصی آنها ایجاد میکنند.
بهتازگی از یک API ناامن متعلق به Twilio استفاده شده است تا شماره تلفنهای ۳۳ میلیون کاربر برنامه Authy را تأیید کند.
بسیاری از سازمانها تلاش میکنند که APIهای خود را با استفاده از محدودیت تعداد درخواستها(Rate-Limiting) امن کنند به جای اینکه از احراز هویت با استفاده از کلید API استفاده کنند.
اما افراد تهدیدی به سادگی صدها سرور پروکسی را خریداری میکنند و اتصالات را به طور مداوم تغییر داده و به طور مداوم از API پرسوجو میکنند، که این باعث میشود محدودیت تعداد درخواستها بیاهمیت شود.
