Trello 用户信息泄露事件概述

关键点总结

• Trello 的用户数据泄露涉及超过 1510 万个客户档案。
• 数据泄露源于一个暴露的 REST API。
• 泄露数据包括用户的全名、电子邮件地址和其他公共账户信息。
• Atlassian 已采取措施保护 API 以防止未经认证用户进行公共信息请求。

近日，Atlassian 旗下的项目管理平台 遭遇了一起重大的数据泄露事件，有超过 1510 万个客户档案在 Breached黑客论坛上出售。这一事件发生在数月前，当时由于一个暴露的 REST API 导致了用户信息的丢失。

根据 的报道，泄露的客户档案是通过将 5 亿个电子邮件地址输入 API后，再结合返回的账户详情生成的。泄露的内容包括用户的全名、电子邮件地址以及其他公共账户信息。根据自称为“emo”的黑客，他将该数据列表以 2.32美元的价格出售。他表示：“最初，我只打算输入来自 'com'（OGU、RF、Breached 等）数据库的电子邮件，但我继续输入电子邮件直到觉得无聊为止。”

在这一事件发生后，Atlassian 表示，已经对 API进行了安全加固，以防止未经认证的用户获取公共信息。“经过认证的用户仍然可以请求另一个用户的公共信息。这一变化在防止API被滥用的同时，确保了我们的用户能够通过电子邮件邀请他人加入公共板块功能，”Atlassian表示。

表格：泄露信息概况

总体而言，此事件突显了在数据管理中加强安全防护的重要性，并提醒用户保护自己的私人信息不被公开。