报告解读 > 正文

数据泄露波及数亿用户,警惕API给黑客大开方便之门

2021-07-29

网宿科技日前联合数世咨询发布《2020中国互联网安全报告》,借此我们推出了系列报告解读。此前已经发布爬虫篇,现奉上API攻击篇,以帮助行业客户了解API攻击趋势与应对策略。

过去4个月内,职场社交巨头LinkedIn领英连续被曝出大规模数据泄露事件,三次分别被发现有5亿、7亿、6亿份用户个人资料在地下论坛被售卖,涉及至少92%的领英用户。

被兜售的数据包括相关用户的全名、邮件地址、社交媒体账户链接、手机号码、职业数据、工资数据等。值得注意的是,黑客称这些数据是通过领英的API获取的。此事引发了安全界的持续热议,也再度敲响了API安全问题的警钟。

安全报告丨2017下半年Web应用攻击激增6倍
研究人员与该黑客在telegram上的对话

API(应用程序编程接口)由于能够有效提高IT开发速度、降低运维成本,越来越多的企业利用API将内部应用和数据通过互联网共享给客户、合作伙伴和其他第三方。

例如各类网站的登录、注册,商旅APP查询火车票余量,外卖应用使用第三方地图展示送餐进度,征信机构获取消费、房产等征信数据等等,均是通过调用相关API接口实现的。有数据显示,API流量已经达到传统HTML流量的数倍。

在领英网站上,访问用户个人主页时显示的个人公开资料,也是通过API接口从数据库中查询、调取到页面中的。黑客正是利用了这类接口,通过爬虫程序高频向接口发起请求,从而批量获取到用户上传的个人信息。

API作为连接服务和数据的通道,在带来便利的同时,也为攻击者直取企业关键数据和应用提供了“捷径”。因此,当前攻击者已将API列为首选的入侵目标之一。

安全报告丨2017下半年Web应用攻击激增6倍

根据网宿科技联合数世咨询近日发布的《2020年中国互联网安全报告》(下简称《报告》)显示,2020年网宿安全平台共检测并拦截了47.32亿次针对API业务的攻击请求,是2019年攻击数据的1.56倍。攻击量的大幅增长显示了API业务面临的严峻安全形势。

安全报告丨2017下半年Web应用攻击激增6倍

2020年的API业务攻击量趋势显示,2020年3-4月间及8-9月、10-11月间API攻击一度飙升。其中,3-4月的增长推测与复工复产的展开有关。

安全报告丨2017下半年Web应用攻击激增6倍

针对API业务的攻击方式中,恶意爬虫(76.39%)占压倒性的多数,蝉联首要攻击方式。恶意爬虫能对企业开放的各类不受保护、有信息价值的API接口进行不断攻击,以达到破坏、牟利、盗取信息等目的。

攻击领英的黑客,使用的就是这种方式。尽管涉事数据均是用户在自己主页上公开的资料,领英也拒绝承认此事属于数据泄露,但公开数据不代表不需要安全防护。大批量的用户数据被爬取后集中售卖给不法分子,同样能将用户置于垃圾短信营销、钓鱼诈骗、撞库攻击等风险之中,同样会对网站声誉造成巨大负面影响。

攻击方式中位居第二、三位的是非法请求(8.36%)、SQL注入(7.10%)。暴力破解的位次从2019年的第二下降到第四,占比也从8.76%下降到5.24%。

安全报告丨2017下半年Web应用攻击激增6倍

《报告》还统计了API攻击的行业分布。超过5成的API攻击集中在政府机构(32.79%)和电子商务领域(21.16%)。尤其在2020上半年,这两个领域共聚集了超过85%的API攻击。

2020年API业务攻击量在各行业领域的分布,也显示出新冠疫情的影响。2020上半年绝大部分的API攻击都瞄准了政府机构和电子商务领域,这与抗疫期间政府信息发布与在线购物在人们生产生活中起到了重要作用密不可分。

同理,2019年以近30%的占比位居第二的交通运输业,在2020年则因疫情影响,数据显著下降,攻击量仅占3.38%,排行第七。

以上种种数据表明,越来越多黑客正在利用API发起攻击,数据价值越高的行业越是重灾区。黑客通过非法控制和使用API,能够对网站和应用进行数据窃取、数据篡改,甚至使相关业务中断服务。API接口被滥刷,还会对服务器资源造成巨大的消耗。如果API防护不周,就会给企业和用户的生产生活带来巨大风险。

而企业对API的防护策略和技术,普遍仍不足以提供充分的保护。尤其是以政府机构为代表的传统行业,在向数字化、互联网+进行转型的过程中,许多API向外网提供服务后,在设计上较少考虑安全问题,存在大量未鉴权的、未修补漏洞的接口,被大肆地恶意探测与爬取,或被传统的Web攻击方式入侵。如针对API的SQL注入、XSS等问题甚至比传统网站更为严重。

对此,网宿安全团队建议,在API的设计上,至少考虑鉴权、访问权限管控、加密传输、速率限制、敏感信息混淆等安全问题,降低API的安全风险。