物联网

  • 主页
  • 物联网
  • Facebook又双叒叕数据泄露了,为什么互联网巨头也

Facebook又双叒叕数据泄露了,为什么互联网巨头也

发布时间:2020-05-08 18:07:18 所属栏目:物联网 阅读:

原标题:Facebook又双叒叕数据泄露了,为什么互联网巨头也难逃API攻击? 来源:科技云报道

每一天,数亿个API被各大网站、APP频繁调用,构建出一个高度开放和效率的互联网世界。

然而,人们习以为常的API,却逐渐成为不法黑客进行攻击的对象。目前,全球的API数量仍在呈爆发式增长,API安全应引起人们足够的重视。

Facebook又双叒叕数据泄露了,为什么互联网巨头也

API攻击带来的大规模用户数据泄露悲剧,已经在全球多个互联网巨头身上重演。

今年3月底,新浪微博因用户查询接口被恶意调用,导致5.38亿微博用户数据泄露,其中1.72亿有账号基本信息,被公开在网上售卖。

当月,Facebook被漏洞赏金猎人Amol Baikar曝出其OAuth框架权限绕过的API漏洞,并因此获取赏金$55,000美元。

而这并不是Facebook第一次发现自身存在的API漏洞。2011年10月,Facebook因API漏洞,使得5000多万个用户信息被公开。

2019年12月,Facebook因API安全漏洞,使黑客在访问受限的情况下也能访问用户的ID和电话号码,从而导致2.67亿个用户的隐私数据被非法售卖。

众所周知,API并不是一个新事物,经过多年的发展,其相关的技术和协议已相当成熟。然而,为什么连Facebook这种首屈一指的大玩家,都没能幸免API安全问题?

Facebook又双叒叕数据泄露了,为什么互联网巨头也

传统防护体系之外的API安全

从API的发展历史看,API技术的发展加速了API的广泛使用,而API的广泛使用又促进API技术的发展。

在国外,继Facebook的开放平台获得成功之后,微软、google相继推出了自己的开放平台战略。在国内,头部的互联网公司也开放了自己的API平台,典型的有微博、百度、腾讯等。

在巨头的推动下,API开放已成为互联网的标配。据百度地图公开数据显示,截止2019年12月10日,其位置服务请求次数突破1200亿次。在中国移动的物联网开放平台OneNET上,日均API调用超过2亿次。

可以看到,如今在互联网、移动互联网、物联网上,API的数量和调用次数都颇为惊人。

从企业使用API的情况看,据消费研究公司One Poll一项调查表明,企业平均管理着363个API,其中69%的公司会向公众及其合作伙伴开放这些API。

虽然企业还在不停地增加API的使用,然而大多数企业并不清楚自己拥有多少个API,也不知道API处于什么状态,这就给黑客带来了更多的入侵机会。有数据表明,2014年全球网络攻击流量有40%来自API,而到了2011年已经飙升到83%。

绿盟科技专家在接受科技云报道采访时表示,API安全问题频发的主要原因,在于API资产数量多、管理难,清点API资产容易出现遗漏。

可以说,API安全最难落地的一步恰恰是第一步,即API资产梳理。如果能彻底做好这一步,后面的安全能力建设就会顺畅很多。

同时,由于API 处于传统网络安全防御体系的覆盖之外,API安全问题没有受到足够的重视,针对API的攻击成本也就更低。

除此之外,如果企业公开了不该暴露的API,没有做好最小化信息反馈,认证鉴权机制不够完善甚至缺失,均会导致严重的API安全隐患。

Facebook又双叒叕数据泄露了,为什么互联网巨头也

应对API攻击的整合安全能力

针对企业在API使用和管理上的疏漏,绿盟科技专家表示,API攻击一般会通过以下4种方式:

l 未授权访问

业务场景复杂、迭代升级频繁,API权限控制较难做到万无一失。API业务逻辑漏洞难以在测试时被发现,一旦某个接口权限控制出现问题,未授权访问带来的后果难以预料。

从Facebook频发的API安全事件看,其漏洞正是在于失效的用户身份认证。

l 参数的非法篡改

对API参数进行非法篡改和拼接,是目前API攻击中的主流。各类试探性攻击也通常采用此方式发起攻击。一旦服务端参数校验存在逻辑漏洞,API参数篡改很容易带来数据泄露、数字资产损失甚至真实的金融风险。

l 接口滥用

国际调研机构Gartner曾指出,2022年,API滥用将成为最常见的攻击方式之一。短信、电邮等API接口被滥用,不仅给服务提供商带来了经济损失,同时影响了正常用户的业务办理。

l DDoS攻击

对未限流的API发起DDoS攻击,消耗服务器资源或带宽资源,使部分业务瘫痪,是最粗暴血腥的攻击方式之一。

可以看到,API攻击利用了多种安全漏洞。

对此,派拉软件专家指出,API安全涉及API资产管理、身份认证、API鉴权、数据安全等多种安全防护领域,包含了从DMZ区到APP区的整个过程的安全防护以及防止敏感信息泄露。

因此,业界关于API安全的解决方案,主要思路是利用API网关形态的产品,从传输层加密、API资产的集中全生命周期的管理、最小化授权、对应用和用户身份进行认证等角度,整合API管理的通用能力。

另外,及时发现和阻止API的滥用、数据加密、防重放攻击等也是广受关注的API安全思路。