谁在删老板微信？鼠标不受控制地操作……

2024年7月17日，据报道近日山东德州乐陵市的王会计遇到一件蹊跷事当时她正在办公桌前休息突然发现自己的电脑有些异常电脑屏幕上的鼠标不受控制地操作起来……王会计揉了揉眼睛确定自己不是在做梦只见她的电脑似乎有一只手在远程操控先是删掉了自己老板的微信又添加了一位陌生微信好友随后将备注改为“老板”这波操作让王会计有些懵圈，不知是谁控制了她的电脑，还将老板的微信“调包”？想到这里，她惊出了一身冷汗，但很快又镇定下来。她想到乐陵市公安局市中派出所民警在反诈骗培训课上讲过类似案例。她立马察觉自己是被骗子盯上了，骗子想冒充老板对自己实施诈骗。
此时，电脑还在自行运作，为了安全起见，王会计立即给民警于胜坤打电话说明情况。
民警于胜坤很快判定，这是诈骗分子利用飘窗或链接为电脑植入病毒，王会计不经意点击后，获得远程操控权限，将真老板微信删除拉黑，再添加自己的账号备注成“老板”，再由“假老板”发号施令，支配会计转账汇款。王会计听完于胜坤的分析，十分后怕。“幸好我听了反诈培训课，否则后果不堪设想。” 自动草稿原来几日前，民警在“生产经营单位反诈培训课”上，向企业负责人、财会人员详细介绍了近期高发的电信诈骗类型和典型案例，并着重强调，在企业发生冒充老板骗钱的可能性较大，专门提醒大家做好防范，没想到这么快就碰上了。自动草稿最后，于胜坤提醒王会计，为了防止类似情况再次发生，可以选择拔掉网线或重装电脑，切断对方的操作，保护好企业的财产安全。

警方提醒

1、遇到自称领导通过社交软件添加好友时，在未核实对方身份前，请不要轻易相信，谨慎添加。2、切勿盲目向陌生账户汇款，遇到异常的借款和资金汇出要求，务必提高警惕，向领导打电话或当面求证，务必核实确认后再进行操作。3、不点击来历不明的网址链接、文件、邮件等，不轻易向陌生网友透露个人信息，增强防范意识。4、财务人员应定期查杀电脑病毒，避免不法分子通过木马病毒操控电脑、盗窃信息。

知名工具Trello被黑客攻击，泄露1500 万用户数据

自动草稿

Trello 是 Atlassian 旗下的一款在线项目管理工具，企业通常使用它将数据和任务组织到板块、卡片和列表中。

近日，有黑客发布了与 Trello 账户相关的 1500 万个电子邮件地址，这些地址是今年 1 月被 API 收集到的。当时有一个名为 “emo ”的威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。

虽然这些档案中的数据几乎都是公开信息，但每个档案还额外包含一个与账户相关的非公开电子邮件地址。虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但这些数据是通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询配置文件的公共信息。

emo 创建了一个包含 5 亿个电子邮件地址的列表，并将其输入 API 以确定它们是否与 Trello 帐户有关联。然后将该列表与返回的账户信息相结合，创建了超过 1500 万用户的会员档案。

今天，emo 在 Breached 黑客论坛上以 8 个网站信用点，价值 2.32 美元的价格分享了15万个配置文件列表。

emo在论坛帖子中解释道：Trello有一个开放的API端点，允许任何未经验证的用户将电子邮件地址映射到trello账户。我原本只打算向端点提供来自’com’（OGU、RF、Breached 等）数据库的电子邮件，但我决定继续使用电子邮件，直到厌倦为止。

自动草稿

据悉，此次泄露的数据包括电子邮件地址和公共 Trello 帐户信息，其中包括用户的全名。

这些信息可用于有针对性的网络钓鱼攻击，以窃取更敏感的信息，如密码。Emo 还表示，这些数据可用于 “dxxing”，使威胁行为者能够将电子邮件地址与个人及其别名联系起来。

Atlassian 今天向 BleepingComputer 证实，这些信息是通过 Trello REST API 收集的，该 API 于今年 1 月被加密。

他表示：在 Trello REST API 的支持下，Trello 用户可以通过电子邮件地址邀请成员或访客访问其公共板块。但是，鉴于 2024 年 1 月的调查中发现的对 API 的滥用，我们对 API 进行了修改，使未经身份验证的用户/服务无法通过电子邮件请求其他用户的公开信息。已通过身份验证的用户仍可使用此 API 请求其他用户配置文件中的公开信息。这一改动在防止滥用 API 和保持 “通过电子邮件邀请到公开讨论区 ”功能对用户有效之间取得了平衡。后续将继续监控 API 的使用情况，并采取任何必要的措施。

如今，不安全的 API 已成为威胁行为者的热门攻击目标，他们滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。

2021 年，有黑客曾滥用 API 将电话号码与 Facebook 账户链接，创建了 5.33 亿用户的个人资料。

2022 年，Twitter 也曝出了类似的漏洞，黑客通过滥用 API 获取到了数百万用户的电话号码和电子邮件地址。

这些数据可以揭露在社交媒体上匿名发帖的人的身份，从而带来巨大的隐私风险。

最近，有人利用不安全的 Twilio API 获取了 3300 万 Authy 多因素身份验证应用程序用户的电话号码。目前有很多企业组织都试图使用速率限制来保护 API，而不再是通过 API 密钥进行身份验证。

但只要黑客购买数百个代理服务器，并轮流连接以不断查询 API，那么速率限制就会毫无用处。