駭客公開1,500萬名Trello用戶個資

綽號為Emo的駭客本周二（7/16）於駭客論壇Breach Forums上，免費公開了隸屬於專案管理工具Trello的21.1GB的資料，內含逾1,500萬名使用者的個資，包括電子郵件帳戶、姓名、使用者名稱、個人檔案網址、狀態資訊及設定等。

Trello創立於2011年，開發基於白板及便利貼概念的專案管理工具，並在2017年以4.25億美元出售給澳洲的協作軟體開發業者Atlassian。

其實早在今年1月就傳出Trello遭駭、用戶資料外洩的消息，只是當時Emo是在駭客論壇上「兜售」此一資料庫，現在則是直接免費釋出。Have I Been Pwned也於今年1月便收錄該資料庫，供使用者查詢是否處於被駭名單中。

Trello今年1月曾向媒體說明，駭客並未破壞其系統，所有的證據皆顯示駭客是利用外洩的電子郵件名單來比對公開的Trello用戶個人檔案。

Emo也在本周對外解釋他如何取得Trello的用戶個資，說法與Trello大致相同。他說Trello有一個開放的API端點，可允許任何未經身分驗證的使用者比對既有電子郵件帳戶及Trello帳戶，他一開始只打算輸入以.com結尾的電子郵件帳戶，後來卻欲罷不能。Emo還說該資料庫非常適合用來進行肉搜。

資安專家則提醒，已得知特定服務的帳戶外洩的使用者要特別小心網釣攻擊。