Trelloユーザー1500万人のメールアドレスがハッキングフォーラムに流出、たった360円で売り飛ばされる

by Focal Foto
Atlassianが運営するタスク管理ツール「Trello」のユーザーのメールアドレス約1500万人分が、ダークウェブに流出したことが報じられました。このメールアドレスは2024年1月にハッカーに盗まれたことが取り沙汰されていましたが、Atlassianは当初データの漏えいを否定していました。
Email addresses of 15 million Trello users leaked on hacking forum
https://www.bleepingcomputer.com/news/security/email-addresses-of-15-million-trello-users-leaked-on-hacking-forum/
Trello Data Breach: Hacker Dumps Personal Info of Millions of Users
https://hackread.com/trello-data-breach-hacker-dumps-users-personal-info/
Trelloはデータやタスクをボード、カード、リストなどとして整理するのに使われるタスク管理ツールです。2024年1月、このTrelloのユーザー1511万5516人分のデータがハッキングフォーラムで販売されたことが発覚しました。
Trelloのユーザー約1511万人分のユーザープロファイル流出か、自分のメールアドレスが含まれているかどうか調べる方法はコレ - GIGAZINE

流出したユーザープロファイルの多くは公開情報でしたが、各プロファイルにはアカウントに紐付けられた非公開のメールアドレスも含まれていました。
Atlassianは当時、被害の状況について明かしませんでしたが、データを窃取した脅威アクターの「emo」は安全ではないREST APIを使って情報を抜き取ったとメディアに語りました。
REST APIとは、分散システムにおけるソフトウェアの連携を念頭に置いた設計原則「REST」に基づいたAPIのこと。このREST APIは公開された状態になっており、TrelloにログインしたりAPI認証キーを使用したりしなくても公開情報にアクセスできるようになっていました。
そこで、emoはまず手当たり次第に集めた5億件のメールアドレスのリストを作成し、それをAPIに入力してそれらがTrelloアカウントに関連しているかどうかを調べました。そして、その結果からTrello IDやユーザー名、メールアドレスを照合してできたのが前述の約1500万人分のユーザープロファイルです。
2024年7月16日、このTrelloのユーザーデータがハッキングフォーラム「Breached(Breach Forums)」で8クレジット、現金に換算するとわずか2.32ドル(約367円)で共有されていることが判明しました。データの総量は21.1GBとのこと。

emoは、フォーラムに「TrelloにはオープンなAPIエンドポイントがあり、認証されていないユーザーでもメールアドレスをTrelloアカウントに紐付けできます。当初は『com(OGU・RF・Breachedなど)』のデータベースからのメールアドレスのみを使うつもりでしたが、飽きるまで続けることにしました」と投稿して、既存の侵害済みメールアドレスのみではなくさらに多くのメールアドレスを使って侵害を続けるつもりだと述べました。
流出したデータには、メールアドレスやユーザーの氏名を含む公開Trelloアカウント情報が含まれており、今回の漏えいで標的型フィッシング攻撃やドキシング、いわゆる「晒し(さらし)」に悪用されるおそれがあります。つまり、匿名でインターネットをしているTrelloユーザーの氏名などが晒されるリスクがあるということです。

Atlassianは、今回流出した情報が2024年1月に盗み出されたものであることを確認した上で、メディアを通じて次の声明を発表しました。
「TrelloのREST APIによって、Trelloユーザーはメールアドレスでメンバーやゲストを自分のパブリックボードに招待できます。しかし、2024年1月の調査でAPIの不正使用が明らかになったため、認証されていないユーザーやサービスがメールアドレスで他のユーザーの公開情報をリクエストできないように変更しました。この変更により、APIの不正使用を防ぎつつ、ユーザーがメールでパブリックボードに招待する機能を使用し続けられるようになりました。今後もAPIの使用状況を監視し、必要な措置を講じていきます」