2022年Q3《API安全研究报告》发布，大量金融和政务数据遭窃取

admin

988
文章

2
评论

2022年10月27日16:53:58 评论

本报告由永安在线·鬼谷实验室独家编写，如需转载、摘编或利用其它方式使用本报告文字或观点请联系永安在线。 2022年Q3《API安全研究报告》发布，大量金融和政务数据遭窃取

前言

随着数字化以及互联网技术的快速发展，API作为应用连接、数据传输的重要通道，需求量正大幅增加。然而，API应用的增速与其安全发展的不平衡，使其成为企业业务和数据风险的最大敞口。

永安在线长期致力于API安全的研究，其在2022年Q2季度的API安全研究报告中提到，围绕API的攻击持续高发，因API安全防护不足而被攻击的事件多不胜数。最新一季报告数据显示，2022年Q3季度API整体风险依旧不容轻视：

1. Q3被攻击的API数量相比Q2有所下降，但每月被攻击的API数量仍超过15万，涉及游戏、金融、政务、电商、数字藏品等多个行业。

2. Q3API攻击场景与Q1和Q2类似，营销作弊场景占比最高，其次是账号风险和数据窃取。

3. Q3仍存在大量平台因API安全防护不到位而遭受攻击并被窃取数据的事件：

如，多家银行在线信用卡业务API因存在安全缺陷遭受攻击，大量用户业务办理信息被爬取；游戏平台遭受专业黑产团伙盗号，黑产通过API资产探测、扫号、撞库等攻击手法成功盗取大量游戏玩家账号等。

面对越来越多的API攻击以及由此导致的数据泄露，企事业单位API安全防护绝不能掉以轻心。除了已有的防御体系外，企业需要针对性地构建API安全防护体系，基于风险情报及早感知及时防御。

永安在线《API安全研究报告》基于全网布控及风险感知技术捕获到的API攻击风险，由情报专家分析并提取API安全情报和风险态势，并结合案例给出相应的防御建议。该系列报告目前已发布两期：

永安在线API安全研究报告（2022年Q1）

永安在线API安全研究报告（2022年Q2）

金融平台的用户数据，如用户的办理业务、办理时间等，无论是出售给中介“精准”揽客，还是出售给犯罪分子实施诈骗，都可以获取到高额的利益。政务平台的API接口则承载了全国各地海量的公民个人隐私数据，如身份证、住址、医保社保等，也是黑产疯狂攻击的对象。金融用户数据和公民个人隐私数据因获利价值高，一直是暗网、TG群数据交易的“抢手货”，一旦泄漏，将给广大民众的财产甚至人身安全造成严重的威胁，平台也会因安全防护不到位遭受相关法律法规的处罚。3.游戏行业面临严峻的账号风险问题，全网攻击规模过亿永安在线情报研究团队通过对Q3API攻击流量进一步分析，在针对平台注册/登录/找回密码等API接口的攻击流量中，存在大量针对游戏、社交等平台的扫号、撞库、暴破攻击，其中游戏行业遭受的攻击最为严重，占比超过50%。某些热门游戏，仅永安在线蜜罐捕获的攻击流量就达到数千万，预计全网攻击规模过亿，这些攻击将给游戏玩家的账号安全带来巨大的风险。（更多详情可查看第三章关于游戏平台被盗号的案例）

二、2022年Q3四大API安全缺陷分析

API存在安全缺陷仍是导致API被攻击的主要原因。本章节基于永安在线API安全管控平台Q3的流量审计结果，从危害性、可利用性、普遍性三个维度，梳理了企业需关注的API安全缺陷。

下文将结合案例针对每一个缺陷进行详细解释：

1. 未授权访问

从Q3的审计结果来看，「未授权访问」依然是危害性最大的API安全缺陷之一。相比Q1和Q2，Q3出现了多起大规模的攻击案例。以银行线上信用卡业务API攻击事件为例：

永安在线对48家银行线上信用卡API进行安全评估发现，至少有20家银行的信用卡业务API存在「未授权访问」缺陷，可在未经授权的情况下，查询到任意用户是否在该银行申请了信用卡、申请时间、申请进度、申请卡类型等信息。黑产团伙利用这一缺陷对信用卡业务API发起大规模的自动化攻击，批量获取用户信用卡业务办理等相关信息。

安全建议

1）除非资源完全对外开放，否则访问默认都要授权，尤其是访问用户的资源或者受限制资源；2）通过白名单的方式来严格控制无需授权的API接口的访问。

2. 错误提示不合理

「错误提示不合理」依然被黑产广泛应用于扫号攻击当中，在Q1和Q2也出现过。Q3比较典型的案例是金融借贷平台API攻击事件：

近期永安在线发现了多家金融借贷平台的API接口遭受黑产团伙攻击，导致平台大量用户手机号泄漏。对攻击流量分析发现，不少平台的注册接口、登录接口以及密码找回接口存在「错误提示不合理」缺陷，在接口参数中传入不同的手机号，再通过接口返回值的不同进行筛选，便可以知道到哪些手机号在平台注册过：

如果不能及时发现并阻断攻击，黑产完全可以遍历完11位手机号，从而获取到平台所有用户的注册手机号。

安全建议

1）针对登录、注册、验证码发送、密码找回等接口的错误提示信息进行模糊化处理，比如返回“用户名或密码不正确”；
2）针对上述接口，对于调用量过大及调用频率过高等异常行为加强监控。

3. 影子API

「脱敏不规范」首次出现在了《API安全研究报告》中。从Q3审计结果来看，存在大量身份证号「脱敏不规范」的案例。

一般来说，身份证号脱敏至少需要脱敏6位，但从审计结果来看，很多平台API接口返回体存在脱敏不规范，如某司法平台信息查询接口/shixin/disDetailNew返回的身份证只脱敏了4位：

又如某监管平台信息查询接口/fwmh/rest/sgaqrest/getQyaqscglryInfoDetail，返回的身份证虽然表面脱敏了6位，但其中4位可以从返回的出生日期来获得，因此实际只脱敏了2位：

「脱敏不规范」的身份证信息很容易被暴破出来。永安在线情报平台就监测到不少黑产团伙专门编写了自动化的攻击工具，对脱敏身份证号进行暴破。

安全建议

1）身份证号码至少脱敏6位，可以采用人民银行发布的《金融数据安全数据生命周期安全规范》(JR/T 0223—2021)中的脱敏规则：保留前12位，后6位用*号代替；
2）不建议只脱敏身份证号码中的出生日期这6位。

4. 允许弱密码

「允许弱密码」是危害性、普遍性和可利用性都非常高的一种缺陷。前文提到Q3存在大量针对游戏、社交等平台的撞库和暴破攻击，通过对攻击成功的数据进行分析，发现有大部分都是弱密码。以某个游戏平台为例，攻击成功的账号中有超过61%是弱密码，且排名靠前的都是一些非常简单的纯数字组合：

安全建议

1）在用户注册、登录、密码重置等场景中对密码复杂度进行检查，建议密码长度不低于8位，且包含大小写字母、数字及特殊符号；2）密码不允许设置为账号、邮箱、生日等关联信息；3）对于高权限账号，建议引入一段时间内强制修改密码的机制。

三、2022年Q3API攻击案例分析

1. 游戏平台遭遇专业黑产团伙盗号攻击

永安在线情报平台在Q3监测到大量针对游戏行业的扫号、撞库等攻击，其中不乏专业黑产团伙的参与。下文以某游戏平台盗号攻击为例：

永安在线监测到某游戏平台被进行规模化撞库攻击，通过对攻击行为进一步分析发现，攻击团伙具备极强的API资产探测能力和攻防对抗经验，是一个非常专业的团伙。

1）在扫号阶段：该团伙找到了该游戏的一个活动接口，该接口存在“错误提示不合理”缺陷：

如果传入不存在的账号，会提示“账号输入错误！点确定返回！”如果传入正确的账号，则可以成功领取活动礼包。

因此攻击该接口可以筛选出已注册账号。此外，该接口缺乏有效的安全防护措施，有利于黑产发起高频攻击，平均每分钟约发起20次的扫号攻击，从而加快筛选账号的进度。

2）在撞库阶段：该团伙攻击的是登录接口，一般来说登录接口会有比较严格的安全防护。为避免被平台发现，黑产对接口实施低频撞库，平均3到4分钟才发起1次攻击。

3）攻击持续一段时间之后，该团伙找到了一个老的登录接口，由于老接口的限制相对较小，因此黑产的攻击频率明显提升，平均每分钟攻击5.5次。

4）所有攻击都使用到了动态代理IP资源来绕过针对IP的限制，平均1个IP发起攻击的次数不超过5次。

危害评估

虽然很多游戏平台会通过动态令牌、手机验证码等方式加强玩家的账号安全，但仍然有不少玩家只使用静态密码进行身份验证，从而给盗号团伙可乘之机。黑产盗号成功之后，往往会登录账号查看玩家账号等级、资产、装备等信息（晒号）；如果账号不存在二次验证，黑产会在极短的时间将金币、元宝等资产以及值钱的装备进行转移，甚至分解掉不能转移的装备（洗号）。这给玩家造成财产损失的同时，也会给游戏平台口碑和生态造成破坏。

安全建议

1）除了注册/登录等接口之外，活动接口的上线也需要经过安全审计并进行相对的安全防护，避免落入安全盲区被攻击者利用；
2）借助威胁情报能力建立有效的API风险行为基线，有效识别慢速撞库、频繁切换IP等不易被感知的攻击行为。

2. 银行在线业务API存在缺陷，遭黑产利用爬取数据

随着银行业数字化发展，越来越多的业务支持线上，提供给线上用户使用的APP、小程序、Web等均需要API进行数据流通，大量API暴露在互联网上无疑增加了银行业务风险暴露面。

以某银行信用卡在线业务API攻击事件为例：

某银行信用卡在线业务申卡进度查询，API接口只需要传入任意身份证号，不需要经过身份验证，便可以查询对应身份人是否有在该银行办理信用卡，以及申请时间、状态、产品等用户信息：

黑产通过攻击以下API接口，对用户信用卡办理信息实施批量窃取：

除了直接攻击信息查询接口外，还会攻击业务入口和人机验证接口。虽然人机验证一定程度上提高了攻击成本，但黑产先访问业务入口获取验证数据（比如图片），通过打码平台自动完成识别后再访问验证接口，从而绕过人机验证。

危害评估

公民信用卡办理信息遭窃取之后，犯罪分子可以根据这些信息包装出更加“真实”的诈骗场景和话术，实施精准诈骗，受害者往往更加容易上当受骗。虽然信用卡接口没有直接泄露手机号，但黑产通过攻击其他平台可以获取到手机号，永安在线在之前的报告中曾多次提到数字政务平台遭攻击泄露公民身份证和手机号。

安全建议

1）API资产梳理过程中，对于传输业务敏感数据或用户敏感数据的API接口，需要进行完备的安全审计，同时进行严格的安全限制，避免出现未授权访问、越权访问等缺陷导致出现数据泄露问题；
2）对于信用卡申卡用户信息查询这类线上接口，可以要求访问者必须先通过手机短信验证码的方式进行身份验证，确保访问者只能查询自己的信息，不能随意查询他人的信息。

3. 数字藏品平台遭受攻击，多个用户数字资产不翼而飞

数字藏品自2021年下半年在国内爆火起来，其热度就一直居高不下。2022年，数字藏品产业更是吸引了海内外众多企业的参与。随着数字藏品的持续火热，黑产针对数字藏品平台的攻击热度也持续高涨。永安在线持续对数字藏品的业务安全保持关注，从Q1、Q2和Q3API攻击行业分布来看，针对数字藏品行业的攻击热度居高不下。

除了Q1和Q2出现的营销作弊场景外，攻击者还找到了其它获利方式：
1）利用忘记密码接口存在的未授权访问缺陷，强制修改其他用户的登录密码；2）通过修改后的密码成功登录账号，并转移该账号的数字资产到黑产所持有的多个账号下。

缺陷复现如下：

可以看到，在接口请求中删除掉cookie等身份认证信息，也可以成功修改密码。

危害评估

虽然数字藏品在现阶段还属于新鲜事物，但其交易价值却不可低估，一旦被盗有可能给藏品投资者带来巨大的财产损失，如某明星几百万藏品被盗，并在短时间内多次转手。此外，某投诉平台上关于“数字藏品”的投诉中，藏品被盗也是投诉的主要问题之一。

安全建议

1）针对忘记密码接口，增加授权验证，比如手机短信验证或邮箱验证等，短信验证码最好在6位，和使用数字+字母加大破解难度；2）对于调用量过大及调用频率过高等异常行为加强监控。

结语

API作为应用程序之间、应用与用户之间交互的桥梁，承载着企业的业务逻辑和大量敏感数据，在数字时代呈爆发式增长，围绕API安全的探索必定是当下不可回避的话题，构建完善的API安全防护体系是企业数字化发展过程中网络和数据安全建设的关键环节。永安在线《API安全研究报告》系列围绕API的攻击趋势、API安全缺陷分析、由API攻击导致的数据泄露事件分析，并结合永安在线在API安全防护的经验提供相应的防御建议。希望借此报告，为企业API安全管理提供新视角、新思路和新方法，助力企业在数字化浪潮中健康、安全、稳定发展。

针对API面临的威胁，永安在线基于多年在业务风险情报领域的技术积累，打造以API资产为中心、以情报技术为核心能力的API安全管控方案，通过API资产梳理、流动数据梳理、API漏洞检测和API攻击感知等能力，让企业实现自动化盘点API及API上流动数据资产状态，先于攻击者发现攻击面，及时感知针对业务及敏感数据的攻击风险，为企业的业务和数据安全保驾护航。

数说安全报道

数说安全

微信扫一扫

2022年Q3《API安全研究报告》发布，大量金融和政务数据遭窃取

前言

目录

一、2022年Q3API整体风险态势

二、2022年Q3四大API安全缺陷分析

三、2022年Q3API攻击案例分析

结语

发表评论取消回复

前 言

目 录

一、2022年Q3API整体风险态势

二、2022年Q3四大API安全缺陷分析

三、2022年Q3API攻击案例分析

结 语

发表评论 取消回复

登录 找回密码

前言

目录

结语

发表评论取消回复

登录找回密码