近日,Atlassian 旗下的项目管理平台 Trello 遭遇了一起重大的数据泄露事件,有超过 1510 万个客户档案在 Breached 黑客论坛上出售。这一事件发生在数月前,当时由于一个暴露的 REST API 导致了用户信息的丢失。
根据 BleepingComputer 的报道,泄露的客户档案是通过将 5 亿个电子邮件地址输入 API 后,再结合返回的账户详情生成的。泄露的内容包括用户的全名、电子邮件地址以及其他公共账户信息。根据自称为“emo”的黑客,他将该数据列表以 232 美元的价格出售。他表示:“最初,我只打算输入来自 comOGU、RF、Breached 等数据库的电子邮件,但我继续输入电子邮件直到觉得无聊为止。”
在这一事件发生后,Atlassian 表示,已经对 API 进行了安全加固,以防止未经认证的用户获取公共信息。“经过认证的用户仍然可以请求另一个用户的公共信息。这一变化在防止API被滥用的同时,确保了我们的用户能够通过电子邮件邀请他人加入公共板块功能,”Atlassian 表示。
表格:泄露信息概况
信息类别内容涉及用户数超过 151 万个泄露信息内容用户全名、电子邮件地址、其他公共信息黑客出售价格232 美元数据来源暴露的 REST API 输入的电子邮件地址总体而言,此事件突显了在数据管理中加强安全防护的重要性,并提醒用户保护自己的私人信息不被公开。
