7月1日,网友称中国人民大学一男生马某,在读硕士研究生期间,利用专业技术盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分排名的网站“RUC IR FACE”,引发广泛关注。
目前马某已被海淀公安局分局依法刑事拘留,案件正在进一步调查中。
从爆料博主发布的网站截图看,这个名叫“RUC IR FACE”的网站疑似包含了从2014级到2022级所有人大本科、硕士、博士的个人资料,甚至可以从姓名、籍贯、所在学院等维度进行精确查询。
图源:网络
威胁猎人关注到,据马某此前微博暴露,其很可能是通过代码爬取了某个存放数据的API接口。
实际上,近几年由API攻击引发的大规模数据泄漏事件不在少数:
早在2021年6月,国内某大型电商平台由于API接口被爬虫攻击,导致用户ID、昵称、手机号以及用户评价等敏感信息遭到泄露,超11亿8千多万用户受到影响。黑产团伙通过批量添加微信好友进行营销推广,非法获利数万元。
2022年7月,Twitter用户数据被网络犯罪分子在黑客论坛上以3万美元出售,涉及540万用户,包括“从名人到公司”的用户数据,后由Twitter证实,数据泄露是由网络犯罪分子利用Twitter2021年12月披露的一个API 漏洞所造成。
....
近几年,各行各业数字化驱动业务高速扩展,作为传输数据及承载业务逻辑的API架构变得越来越复杂。
企业很难及时了解API安全缺陷及流动的敏感数据情况,尤其在互联网、金融、教育等存在大量API及流动数据的行业,主要体现在:
1. API资产管理缺失
由于API增速很快,企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解,导致很多安全管理视线外的API暴露在互联网。
2. API存在安全缺陷
很多API未经严格的安全测试就上线,导致存在严重的安全缺陷,如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历等,增加了数据暴露的风险。
面对越来越多的API攻击和数据泄露风险,企业需要从多个维度来构建防御体系,更需要基于风险情报来构建攻击检测模型,做到及早感知及时防御,从而保障企业及其用户的数据安全。
对内,企业需要加强API安全的建设。以API资产为中心,全面梳理API资产、发现阻断API攻击,提升风险事件的响应速度。让企业可以非常清晰、量化地知道自己的API资产及其安全风险,包括及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况。
在今年OWASP发布的API安全Top 10列表中,同样强调了精准管理、及时更新API资产的重要性。
对外,企业可以借助“情报”及早感知API风险。攻击者在进行API攻击时,会用到各类资源、工具。攻击者可以伪装,但其在攻击过程中使用的攻击资源、工具及其行为却无法隐瞒。“情报”便是攻防对抗中,这些攻击者无法隐瞒、无法绕过的点。
从攻击者视角出发,基于“情报”构建风险识别体系,清晰了解“攻击者在什么社群、使用了哪些工具、通过什么攻击要素、做出怎样的攻击行为”,从而更快更准地发现新的攻击风险。
威胁猎人基于风险情报构建的API安全管控平台,能够梳理系统所有的敏感数据API,评估API的认证授权、数据暴露和脱敏不一致等设计缺陷。
同时,基于风险情报构建API异常行为基线模型实时监测数据爬取行为,及时发现并阻断数据泄露风险,帮助企业实现从被动对抗到主动防御的角色转变。
2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”(详见:)。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...