아틀라시안(Atlassian)이 운영하는 작업 관리 도구 트렐로(Trello) 사용자 이메일 주소 1,500만 개가 다크웹에 유출됐다고 보도됐다. 이들 이메일 주소는 지난 1월 해커에 의해 도난당한 것으로 알려졌지만 아틀라시안 측은 처음에 데이터 유출을 부인했다.
트렐로는 데이터와 작업을 보드, 카드, 리스트 등으로 정리하는 데 사용되는 작업 관리 도구다. 지난 1월 이런 트렐로 사용자 1,511만 5,516명 데이터가 해킹 포럼에서 판매되고 있다는 사실이 밝혀졌다. 유출된 사용자 프로필 대부분은 공개 정보였지만 각 프로필에는 계정에 연결된 비공개 이메일 주소도 포함되어 있었다.
아틀라시안 측은 당시 피해 상황에 대해 밝히지 않았지만 데이터를 탈취한 위협 행위자(emo)는 안전하지 않은 REST API를 사용해 정보를 빼냈다고 언론에 밝혔다. REST API는 분산 시스템에서 소프트웨어 연계를 염두에 둔 설계 원칙 REST에 기반한 API. 이런 REST API는 공개된 상태로 트렐로에 로그인하거나 API 인증 키를 사용하지 않고도 공개 정보에 접근할 수 있게 되어 있었다.
따라서 위협 행위자는 먼저 무작위로 수집한 5억 개에 대한 이메일 주소 목록을 만들고 이를 API에 입력해 이게 트렐로 계정과 관련되어 있는지 확인했다. 그 결과로 트렐로 ID, 사용자명, 이메일 주소를 대조해 만든 게 앞서 언급한 1,500만 명 분의 사용자 프로필이다.
7월 16일 이런 트렐로 사용자 데이터가 해킹 포럼 브랜치드(Breached)에서 8크레딧, 현금으로 환산하면 단 2.32달러에 공유되고 있다는 사실이 밝혀졌다. 데이터 총량은 21.1GB라고 한다.
위협 행위자는 포럼에 트렐로에는 오픈 API 엔드포인트가 있어 인증되지 않은 사용자도 이메일 주소를 트렐로 계정에 연결할 수 있다며 처음에는 com(OGU・RF・Breached 등) 데이터베이스에서 이메일 주소만을 사용할 계획이었지만 질릴 때까지 계속하기로 했다고 올려 기존 침해된 이메일 주소 뿐 아니라 더 많은 이메일 주소를 사용해 침해를 계속할 의도라고 말했다.
유출 데이터에는 이메일 주소와 사용자명을 포함한 공개 트렐로 계정 정보가 포함되어 있어 이번 유출로 표적형 피싱 공격이나 독싱, 이른바 신상 공개에 악용될 우려가 있다. 다시 말해 익명으로 인터넷을 사용하는 트렐로 사용자명 등이 공개될 위험이 있다는 것.
아틀라시안은 이번에 유출된 정보가 2024년 1월 도난당한 것임을 확인한 뒤 성명을 발표했다. 트렐로 REST API를 통해 트렐로 사용자는 이메일 주소로 멤버나 게스트를 자신의 공개 보드에 초대할 수 있지만 2024년 1월 조사에서 API 부정 사용이 밝혀져 인증되지 않은 사용자나 서비스가 이메일 주소로 다른 사용자 공개 정보를 요청할 수 없도록 변경했다며 이 변경으로 API 부정 사용을 방지하면서도 사용자가 이메일로 공개 보드에 초대하는 기능을 계속 사용할 수 있게 됐다고 밝히고 앞으로도 API 사용 상황을 모니터링하고 필요한 조치를 취해 나갈 것이라고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.