據(jù)bleepingcomputer報(bào)道，近日，有黑客發(fā)布了與Trello賬戶相關(guān)的1500 萬個(gè)電子郵件地址，這意味著Trello泄露1500 萬用戶數(shù)據(jù)！而此次數(shù)據(jù)泄露事件是黑客濫用API映射到trello賬戶導(dǎo)致的。

黑客濫用API，獲取Trello 1500萬用戶數(shù)據(jù)

根據(jù)這位名叫emo的黑客在Breached 黑客論壇發(fā)布的帖子，Trello存在開放的API端點(diǎn)，允許任何未經(jīng)驗(yàn)證的用戶將電子郵件地址映射到trello賬戶。emo隨即創(chuàng)建了一個(gè)包含5億個(gè)電子郵件地址的列表，并將其輸入到此API中以確定它們是否與 Trello 帳戶有關(guān)聯(lián)，然后將該列表與返回的賬戶信息相結(jié)合，創(chuàng)建了Trello超過1500萬用戶的會(huì)員檔案。

泄露的數(shù)據(jù)存在敏感信息，存在安全風(fēng)險(xiǎn)

據(jù)悉，此次泄露的數(shù)據(jù)包括電子郵件地址、公共Trello 帳戶信息、用戶全名等。這些信息容易被網(wǎng)絡(luò)攻擊者利用進(jìn)行針對性的網(wǎng)絡(luò)釣魚攻擊，以竊取比如密碼登更敏感的信息。

因API被黑客濫用導(dǎo)致的數(shù)據(jù)泄露事件屢見不鮮

近幾年來，API已成為網(wǎng)絡(luò)攻擊者進(jìn)行網(wǎng)絡(luò)攻擊的常見載體，因API被黑客濫用導(dǎo)致的數(shù)據(jù)泄露事件屢見不鮮，例如：

• 2024年，黑客利用不安全的Twilio API 獲取了3300萬Authy用戶的電話號碼。
• 2022年，黑客通過濫用 API 獲取到了Twitter數(shù)百萬用戶的電話號碼和電子郵件地址。
• 2021年，黑客濫用 API 將電話號碼與 Facebook 賬戶鏈接，創(chuàng)建了 5.33 億用戶的個(gè)人資料。

而Marsh McLennan的一項(xiàng)研究表明，與API相關(guān)的安全事件每年給全球企業(yè)造成的損失高達(dá)750億美元。由此，如何確保API安全，防止API被黑客濫用造成的敏感數(shù)據(jù)泄露、聲譽(yù)損失和經(jīng)濟(jì)損失，是當(dāng)前企業(yè)關(guān)注的重點(diǎn)。

如何確保API安全呢？

確保API安全，防止API濫用的關(guān)鍵在于實(shí)施一系列安全防護(hù)措施，‌包括安裝防護(hù)應(yīng)用、身份驗(yàn)證和訪問控制、‌速率限制、‌加密、異常監(jiān)控以及審計(jì)和日志記錄等。

• 安裝防護(hù)應(yīng)用，例如設(shè)置防火墻 (WAF)、API網(wǎng)關(guān)等，以應(yīng)對常見的API攻擊，保護(hù)API免受惡意攻擊。
• 身份驗(yàn)證和訪問控制，啟用雙因素身份驗(yàn)證 (2FA)，或采用PKI技術(shù)對API進(jìn)行身份驗(yàn)證，防止未經(jīng)授權(quán)的訪問。
• ‌速率限制，確保請求得到及時(shí)處理，而且不會(huì)有一個(gè)用戶同時(shí)向系統(tǒng)發(fā)出過多請求，可防止惡意自動(dòng)攻擊。
• SSL‌加密，采用遵循SSL安全協(xié)議的SSL證書實(shí)現(xiàn)HTTPS加密，防止傳輸數(shù)據(jù)被惡意第三方竊取或篡改。
• 異常監(jiān)控，主動(dòng)檢測和分析可疑行為和訪問模式，及時(shí)發(fā)現(xiàn)API接口存在的漏洞、故障或錯(cuò)誤配置，并及時(shí)修復(fù)。
• 審計(jì)和日志記錄，識別未監(jiān)控或未經(jīng)身份驗(yàn)證的API端點(diǎn)，記錄每個(gè)應(yīng)用程序接口請求，跟蹤用戶活動(dòng)，防止數(shù)據(jù)泄露或違規(guī)問題。

旨在通過以上及其他行之有效措施的共同作用，構(gòu)筑API安全防線，確保API安全，防止API被濫用，以保障企業(yè)業(yè)務(wù)的正常運(yùn)行以及數(shù)據(jù)安全，助力企業(yè)可持續(xù)發(fā)展。

銳成信息深耕數(shù)字證書領(lǐng)域十余年，可提供銳安信sslTrus、Sectigo、Globalsign等知名品牌的SSL證書以及管理數(shù)字證書的PKI解決方案，確保企業(yè)用戶、設(shè)備、服務(wù)身份得以驗(yàn)證，使企業(yè)建立起值得信賴的網(wǎng)絡(luò)環(huán)境。若您有任何疑問，可隨時(shí)聯(lián)系我們獲得支持。‌

資料參考來源：bleepingcomputer、Marsh McLennan