继大型售票业者TicketMaster、电信业者AT&T、娱乐业者迪士尼惊传大规模资料外泄,本周又有骇客宣称握有超过1,500万笔专案管理工具Trello用户资料。
值得留意的是,外泄这批巨量资料的人表示,取得管道居然是Trello公开的API端点,他能在未通过身分验证的情况下将电子邮件信箱对应到Trello帐号。
【攻击与威胁】
其实早在今年1月就传出Trello遭骇、用户资料外泄的消息,只是当时Emo是在骇客论坛上兜售此一资料库,现在则是直接免费释出。Have I Been Pwned也于今年1月便收录该资料库,供使用者查询是否处于被骇名单中。
这名骇客也解释如何取得Trello的用户个资,他表示,来源是Trello开放的API端点,可允许任何未经身分验证的使用者比对既有电子邮件帐户及Trello帐户,他认为,这个管道非常适合用来进行肉搜。