사건 개요
- 아틀라시안(Atlassian)의 작업 관리도구 트렐로(Trello)에서 약 1,500만명의 사용자 개인정보가 다크웹에 유출
- ’emo’라는 해커가 다크웹 포럼에 트렐로 사용자들의 계정 정보를 포함한 데이터베이스를 판매
피해 규모
- 세계 3,000개 이상 기업
- 1500만개의 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보
- 5억개의 이메일 주소와 API를 통해 반환된 사용자 정보를 조합
원인
- API 취약점을 악용한 해커의 공격
- REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 기능을 제공
- 이 API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계
- 초기에는 API가 인증 없이 접근이 가능
- 누구든지 API를 호출해 공개된 정보를 검색할 수 있었으며, 이로 인해 해커는 무제한으로 데이터 수집
'정보보안 > 사건사고' 카테고리의 다른 글
| 2024.8.12 KBS 해킹으로 직원의 개인정보, 이메일 데이터 유출 (0) | 2024.08.12 |
|---|---|
| 2024.8.12 서울시 고교학점제 수강신청 사이트 학생 개인정보 5백여 건 유출 (0) | 2024.08.12 |
| 2024.8.08 출판물류관리회사 주문·배송 솔루션 랜섬웨어 감염 (0) | 2024.08.08 |
| 2024.8.08 방통위 번호로 대량 스팸문자 발송 (0) | 2024.08.08 |
| 역대 최대 30억 명 개인 데이터 유출 (0) | 2024.08.06 |