绰号为Emo的骇客本周二(7/16)于骇客论坛Breach Forums上,免费公开了隶属于专案管理工具Trello的21.1GB的资料,内含逾1,500万名使用者的个资,包括电子邮件帐户、姓名、使用者名称、个人档案网址、状态资讯及设定等。
Trello创立于2011年,开发基于白板及便利贴概念的专案管理工具,并在2017年以4.25亿美元出售给澳洲的协作软体开发业者Atlassian。
其实早在今年1月就传出Trello遭骇、用户资料外泄的消息,只是当时Emo是在骇客论坛上「兜售」此一资料库,现在则是直接免费释出。Have I Been Pwned也于今年1月便收录该资料库,供使用者查询是否处于被骇名单中。
Trello今年1月曾向媒体说明,骇客并未破坏其系统,所有的证据皆显示骇客是利用外泄的电子邮件名单来比对公开的Trello用户个人档案。
Emo也在本周对外解释他如何取得Trello的用户个资,说法与Trello大致相同。他说Trello有一个开放的API端点,可允许任何未经身分验证的使用者比对既有电子邮件帐户及Trello帐户,他一开始只打算输入以.com结尾的电子邮件帐户,后来却欲罢不能。Emo还说该资料库非常适合用来进行肉搜。
资安专家则提醒,已得知特定服务的帐户外泄的使用者要特别小心网钓攻击。