2024.8.09 아틀라시안 작업 관리도구 트렐로에서 1,500만명의 개인정보 유출

사건 개요

• 아틀라시안(Atlassian)의 작업 관리도구 트렐로(Trello)에서 약 1,500만명의 사용자 개인정보가 다크웹에 유출
• ’emo’라는 해커가 다크웹 포럼에 트렐로 사용자들의 계정 정보를 포함한 데이터베이스를 판매

 

피해 규모

• 세계 3,000개 이상 기업
• 1500만개의 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보
• 5억개의 이메일 주소와 API를 통해 반환된 사용자 정보를 조합

 

원인

• API 취약점을 악용한 해커의 공격
• REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 기능을 제공
• 이 API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계
• 초기에는 API가 인증 없이 접근이 가능
• 누구든지 API를 호출해 공개된 정보를 검색할 수 있었으며, 이로 인해 해커는 무제한으로 데이터 수집

 

Criminal IP에서 발견된 아틀라시안 IP 주소의 취약점