关于1500万Trello用户电子邮件地址泄露，现于暗网出售的分析

　　Trello邮件是Trello任务管理工具中的一个功能，它允许用户通过电子邮件轻松创建、组织和更新任务和项目。用户可以将电子邮件转发到Trello上的特定板块或卡片，并自动将其添加到指定的列表中。此外，用户还可以使用专用电子邮件地址直接向特定的看板或卡片发送电子邮件。

　　一、基本内容

　　一名黑客发布了与Trello账户相关的1500多万个电子邮件地址，这些地址是黑客于今年1月利用不安全的API收集到的。

　　Trello是Atlassian旗下的一款在线项目管理工具，企业通常利用该工具将数据和任务组织到板块、卡片和列表中。

　　今年1月，BleepingComputer报道称，一名黑客在一个流行黑客论坛上出售15115516名Trello会员的资料。

　　尽管这些档案中的数据几乎已全公开，但每个档案还包含一个与账户相关的非公开电子邮件地址。

　　虽然Trello的所有者Atlassian当时并未证实这些数据是如何被窃取的，但该黑客告诉BleepingComputer，这些数据是通过一个不安全的REST API收集的，该API允许开发人员根据用户的Trello ID、用户名或电子邮件地址查询个人资料的公共信息。

　　这名黑客创建了一个包含5亿个电子邮件地址的列表，并将其输入API以确定它们是否与Trello账户关联。接着，将该列表与返回的账户信息相结合，创建了超过1500万用户的会员档案。

　　目前，黑客在Breached论坛上以8个网站信用点(价值2.32美元)的价格出售15115516个配置文件的整个列表。

　　泄露的数据包括电子邮件地址和公共Trello账户信息，其中包括用户的全名。

　　这些信息可用于有针对性的网络钓鱼攻击，从而窃取更为敏感的信息(如密码)。该黑客还表示，这些数据可用于“dxxing”，黑客能够将电子邮件地址与个人及其别名联系起来。

　　Atlassian证实道，这些信息是通过Trello REST API收集的，该API于今年1月被加密。

　　不安全的API已成为黑客的热门攻击目标，他们通过滥用API将电子邮件地址和电话号码等非公开信息与公开资料相结合。而很多人都会在社交媒体上匿名发帖，这些内容都有可能暴露个人数据，从而造成了巨大的隐私风险。

　　很多组织制不通过API密钥进行身份验证，而是使用速率限制来保护API。然而，黑客只需购买数百个代理服务器，并轮流连接来查询API，就能够让速率限制毫无用处。

　　二、分析研判

　　这篇文章介绍了一名黑客于今年1月利用不安全的Trello REST API收集了1500多万个与Trello账户相关的电子邮件地址，并将其公开出售。虽然这些数据中的信息已经几乎全部公开，但每个档案还包含一个非公开电子邮件地址。这些信息可以被用于有针对性的网络钓鱼攻击，从而窃取更敏感的信息，比如密码和个人身份信息。

　　该事件揭示了API安全性的缺陷，以及黑客如何滥用API的问题。许多组织没有通过API密钥进行身份验证，而是使用速率限制来保护API。但黑客只需购买数百个代理服务器，并轮流连接来查询API，就能够使速率限制失去效果。

　　此外，社交媒体上的匿名发帖也存在隐私风险。黑客可以将公开的信息与非公开的信息相结合，从而暴露个人数据。

　　因此，企业和用户应注意加强API安全性，采取必要的安全措施和身份验证来保护API和敏感信息。同时，在社交媒体上发布信息时，应谨慎考虑信息的公开程度，避免泄露个人身份和其他敏感信息。

　　三、应对策略

　　修改密码：如果您是Trello用户，并且使用相同的密码登录其他网站，请尽快更改这些密码，以避免进一步的数据泄露和账户被盗风险。

　　设置强密码：确保您的密码足够强大，包含字母、数字和符号，并避免使用常见的密码或个人信息作为密码。

　　关注官方声明和相关新闻：注意关注Trello官方声明和相关新闻，及时了解有关该事件的最新信息和处理方法。

　　不打开来自陌生发件人的邮件：不要轻易打开来自陌生发件人的邮件，特别是包含附件或链接的邮件，以避免成为网络钓鱼攻击的目标。

　　加强API安全性：企业和开发人员需要加强API的安全性，采取必要的安全措施和身份验证来保护API和敏感信息。例如通过API密钥进行身份验证等。