近日,Twitter超过540万条用户数据免费在暗网公开,引发媒体热议。一起盘一盘事件背后的原因是什么?危害有哪些?

今年7月,网络犯罪分子就在黑客论坛上以3万美元出售Twitter数据库,涉及540万用户,包括“从名人到公司”的用户数据(当时并未免费公开),后由Twitter证实,数据泄露是由网络犯罪分子利用Twitter2021年12月披露的一个API 漏洞所造成。

那么,攻击者是如何利用Twitter API漏洞窃取用户数据的?

一、通过API漏洞“扫号”窃取用户信息

总的来说,TwitterAPI漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码或电子邮件,获得任何用户的Twitter ID,使得攻击者可以利用该漏洞进行大规模“扫号”攻击。

攻击者向Twitter的API接口提交手机号或电子邮件,API接口根据提交信息返回相关“提示”,由此,攻击者判断出该账号是否注册,并将“已注册”账号信息快速匹配账户ID。通过账户ID,攻击者可以直接获取用户与Twitter账号绑定的个人资料信息,包括名称、位置信息、兴趣爱好,甚至社会身份,并结合大数据分析输出Twitter用户账号的精准画像,从而针对用户实施诈骗。

除Twitter以外,不少头部企业因API接口存在问题屡遭攻击,数据泄漏事件接二连三:

2020年3月,国内某大型分享交流平台被爆出用户查询API接口被非法调用,导致5亿平台用户的私人信息被攻击者获取并售卖到暗网。

2021年4月,Facebook平台上的5.33亿用户数据泄漏,涉及国内用户超67 万,事后判定为业务API安全漏洞......

社交平台大规模数据泄露后,数百万用户的私密信息被不法分子利用,其风险不可小觑。

二、数亿数据泄露,后果远超想象

中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示,截至2021年12月,有22.1%的网民,也就是超2亿人遭遇个人信息泄露。

个人信息泄露后,平台用户会遭遇频繁的电话骚扰、甚至被黑产利用个人信息进行诈骗,带来资金盗用,恶意欺诈等一系列风险。尤其当公众人物信息被曝光,极有可能引发人身及财产威胁。对于企业来说,数据泄露不仅会招致大量的用户投诉,还有可能面临法律处分或监管处罚,严重损害企业经济及品牌声誉。

近日,Facebook母公司Meta就因5.33亿Facebook用户个人数据被泄漏到互联网上,而被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元(约合近20亿人民币)。

三、API安全管控,刻不容缓

随着数字化、API技术发展,网络安全边界逐渐模糊,其原有的防护措施已无法满足面向全场景的安全需求,各种API接口暴露在互联网,扩大了业务风险暴露面。

此外,API的爆发式增长与安全发展不平衡,使其成为数据安全中最薄弱的环节,并成为攻击者进行数据攻击的首选目标。

SaltSecurity报告中提到,在过去的12个月中,20%的组织由于API中的安全漏洞而引发数据泄露,95%的组织在API中遇到了安全问题。

然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有API安全策略。

那么,企业应如何应对日益严峻、复杂的API安全挑战?

API安全管控并非易事。业内API安全解决方案所采用的技术大多是“传统规则引擎”,在API攻击层面,很多时候攻击请求中并未包含任何攻击特征,因此传统规则引擎在API风险识别上,很难从行为上区分威胁,也不具备标准化程度和规模化效应。

永安在线API安全管控平台,基于“情报”(如攻击IP、工具、账号、行为等)构建API访问的行为基线,且不受AI流量波动影响,可以快速判定API存在的风险攻击事件,帮助企业全面梳理API资产、预防发现阻断API攻击、提升风险事件的响应速度、防止流动敏感数据泄漏。

1. 资产管理方面,从“杂乱无章”到“了如指掌”

API安全管控平台内置资产梳理模块,持续、动态、自动化梳理面向客户、内部员工、合作伙伴、开源组件和中间件等场景下的API,建立完整API资产清单,帮助企业及时、动态地了解API开放数量、API活跃状态、僵尸API、影子API、缺陷API、涉敏API等安全风险信息,确保企业流动数据清晰可见。目前,API资产识别率可达97.8%。

2. 缺陷检测方面,从“扑朔迷离”到“一览无余”

基于永安在线特有的情报技术和攻防研究,可持续跟踪攻击者如何利用新型API漏洞进行攻击,并提取新型攻击面和攻击特征,持续优化API漏洞检测引擎,能及时覆盖最新的业务API逻辑漏洞和第三方组件、开源系统API的未授权漏洞等。

截至目前,平台可支持64种API缺陷类型的检测,包括未授权漏洞、越权漏洞、短信验证码泄露、关键数据未脱敏等等。此外,平台已实现API安全缺陷自动化缺陷修复状态判定,实现缺陷闭环处理,提升安全运营效率。

3. 风险感知方面,从“海量攻击”到“精准告警”

API安全管控平台基于广覆盖、高精准度的风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,可及时、有效地感知恶意注册、扫号攻击、撞库攻击、营销欺诈、数据爬取、短信轰炸、敏感API境外访问等场景的API风险事件。

尤其能解决攻击者利用海量小号、秒拨代理IP发起的低频、慢速、无特征的扫号撞库、数据爬取、营销欺诈行为,识别准确率不低于95%。

永安在线基于底层情报能力的长期积累,持续为广大企业构建以业务优先为原则、可视、可控、可靠的API安全管理体系。