✔API Trello использовали для выявления e-mail 15 млн учетных записей сервиса - «Новости мира Интернет»

19 марта 2024 460 Новости 0

Данные об аккаунтах включали адреса электронной почты, имена пользователей и прочие сведения. Помимо email, другие сведения являются общедоступными. Представители Trello заявили, что информацию собрали путем очистки общедоступных данных. Для этого была проведена проверка существующих адресов электронной почты на соответствие общедоступным профилям пользователей. В самом сервисе не обнаружили признаков несанкционированного доступа к Trello или аккаунтам.

Как пишет Хабр, журналисты BleepingComputer связались с хакером и выяснили, что для сбора данных он использовал общедоступный API для связывания адресов электронной почты с профилями Trello. Так называемый REST API позволяет разработчикам интегрировать службу в свои приложения. В одном из эндпоинтов API есть пункт, разрешающий запрашивать общедоступную информацию о профиле на основе идентификатора или имени пользователя.

Хакер обнаружил, что сведения можно запросить, используя адрес электронной почты. А так как API общедоступный, то к нему можно обращаться без входа в учетную запись или введения ключа аутентификации. В итоге хакер составил список из 500 млн адресов электронной почты и передал их в API для определения их связи с учетными записями Trello. Для ускорения работы он использовал прокси-серверы.

Представители Trello сообщили BleepingComputer, что с учетом выявленного неправомерного использования API, в него было внесено изменение. В результате неаутентифицированные пользователи или службы не могут запрашивать общедоступную информацию другого пользователя по электронной почте. Однако запрашивать эту информацию по-прежнему можно, но только после проверки подлинности.

Изображение на обложке: Unsplash

В открытом API Trello можно связывать частные адреса электронной почты с учетными записями программы. Недавно на хакерском форуме в даркнете появилось объявление о продаже данных более 15 млн аккаунтов Trello, извлеченных с помощью API этого сервиса. Данные об аккаунтах включали адреса электронной почты, имена пользователей и прочие сведения. Помимо email, другие сведения являются общедоступными. Представители Trello заявили, что информацию собрали путем очистки общедоступных данных. Для этого была проведена проверка существующих адресов электронной почты на соответствие общедоступным профилям пользователей. В самом сервисе не обнаружили признаков несанкционированного доступа к Trello или аккаунтам. Как пишет Хабр, журналисты BleepingComputer связались с хакером и выяснили, что для сбора данных он использовал общедоступный API для связывания адресов электронной почты с профилями Trello. Так называемый REST API позволяет разработчикам интегрировать службу в свои приложения. В одном из эндпоинтов API есть пункт, разрешающий запрашивать общедоступную информацию о профиле на основе идентификатора или имени пользователя. Хакер обнаружил, что сведения можно запросить, используя адрес электронной почты. А так как API общедоступный, то к нему можно обращаться без входа в учетную запись или введения ключа аутентификации. В итоге хакер составил список из 500 млн адресов электронной почты и передал их в API для определения их связи с учетными записями Trello. Для ускорения работы он использовал прокси-серверы. Представители Trello сообщили BleepingComputer, что с учетом выявленного неправомерного использования API, в него было внесено изменение. В результате неаутентифицированные пользователи или службы не могут запрашивать общедоступную информацию другого пользователя по электронной почте. Однако запрашивать эту информацию по-прежнему можно, но только после проверки подлинности. Изображение на обложке: Unsplash

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.