警惕！数据接口背后的隐秘威胁正在窃取你的信息！

何为数据接口？

数据接口是在不同网络区域或信息系统之间，用于完成数据传输交换并遵循相应约定的数据传输格式的接口。消费者获得服务的过程就是一个个数据接口通过不断与后台进行数据交互来实现的。一个小程序可能拥有上万个数据接口，而这些承载着海量数据流转和交互的数据接口正是网络攻击者眼中的薄弱环节，也是他们主要攻击的目标。

3个测试步骤

专家通过扫描接口，分析接口开放参数，检查身份鉴别和授权机制3个步骤分别对6个生活场景进行了技术测试。

技术测试场景一：智慧停车

专家仅仅通过输入车辆的车牌号后，无需身份验证，就在前台或者后台返回的数据包轻而易举地就获得了车辆所在停车场、车辆入场时间等敏感信息，进一步获取《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。可见，智慧停车，很智慧，但是不够安全。

技术测试场景二：手机小程序点餐

由于数据接口授权不严密，专家仅仅使用最基础的解码程序，就轻而易举地从小程序的数据接口返回的数据包中，获取了消费者下单消费的完整且没有加密的后台数据，轻易获取了如手机号，订单详细信息等。

技术测试场景三：健身月卡办理

同样，专家仅仅使用最基础的解码程序，就顺利通过了该小程序数据接口的用户身份校验，毫无阻拦地就拿到了完整且未加密的用户信息。这其中包括身高、体重、职业、生日等敏感信息。

技术测试场景四：洗衣服务自助办理

这家企业的小程序接口存在一个非常明显的漏洞：当消费者查询的订单号为空的时候，该接口就会返回数据库中所有订单的信息，这几乎让程序平台里的整个用户信息都存在极大的泄露风险。敏感信息包括手机号、姓名和居住地址等。

技术测试场景五：酒店订房

这个小程序的接口做了一定的加密措施，但是由于生成的订单号非常有规律，专业人员可以根据规律构造查询指令，也可以很轻易地查看到指定日期的所有订单详细信息，如身份证号，手机号，会员号等。

技术测试场景六：医院医疗

该医院的小程序由于查询接口授权机制不完善导致无需管理员权限，用普通账号也能查询所有患者的化验报告，其在权限等级识别上根本就没有设置任何障碍。

此次调查涵盖了生活的多个方面，涉及的企业规模较大，但均未能充分重视客户信息的保护。其中通过盗取客户的实时信息，犯罪分子可以追踪社会车辆，违法安装跟踪器；通过盗取疾病，健康这类极为隐私，敏感的信息，可以进行针对性的药品，保健品推销，甚至将其引入假药骗局；此外，诸如买保险、借贷款等具有针对性的骚扰电话也屡禁不止......

数据接口安全问题极需引起重视

数据接口为数据传输提供了高效便捷的服务，针对当前消费市场上数据接口面临的安全，全国网络安全技术标准委员会正在抓紧制定“数据接口安全风险监测方法”等国家标准，归纳分析数据接口面临的安全风险并提出相应的监测方法。同时，各大商家，互联网平台也应最大程度保障消费者的数据信息安全，落实自身的信息安全责任。

往期回顾