从“人大学生信息被非法获取”事件看API风险管理的重要性

威胁猎人Threat Hunter

7 月 1 日，网友称中国人民大学一男生马某，在读硕士研究生期间，利用专业技术盗取全校学生个人信息，包括照片、姓名、学号、籍贯、生日等，并搭建了给全校学生颜值打分排名的网站 “RUC IR FACE”，引发广泛关注。

目前马某已被海淀公安局分局依法刑事拘留，案件正在进一步调查中。

从爆料博主发布的网站截图看，这个名叫 “RUC IR FACE” 的网站疑似包含了从 2014 级到 2022 级所有人大本科、硕士、博士的个人资料，甚至可以从姓名、籍贯、所在学院等维度进行精确查询。

图源：网络

威胁猎人关注到，据马某此前微博暴露，其很可能是通过代码爬取了某个存放数据的 API 接口。

实际上，近几年由 API 攻击引发的大规模数据泄漏事件不在少数：

早在 2021 年 6 月，国内某大型电商平台由于 API 接口被爬虫攻击，导致用户 ID、昵称、手机号以及用户评价等敏感信息遭到泄露，超 11 亿 8 千多万用户受到影响。黑产团伙通过批量添加微信好友进行营销推广，非法获利数万元。

2022 年 7 月，Twitter 用户数据被网络犯罪分子在黑客论坛上以 3 万美元出售，涉及 540 万用户，包括 “从名人到公司” 的用户数据，后由 Twitter 证实，数据泄露是由网络犯罪分子利用 Twitter2021 年 12 月披露的一个 API 漏洞所造成。

近几年，各行各业数字化驱动业务高速扩展，作为传输数据及承载业务逻辑的 API 架构变得越来越复杂。

企业很难及时了解 API 安全缺陷及流动的敏感数据情况，尤其在互联网、金融、教育等存在大量 API 及流动数据的行业，主要体现在：

1. API 资产管理缺失

由于 API 增速很快，企业对 API 开放的数量、API 的活跃状况、僵尸 API、影子 API 等安全风险情况还不够了解，导致很多安全管理视线外的 API 暴露在互联网。

2. API 存在安全缺陷

很多 API 未经严格的安全测试就上线，导致存在严重的安全缺陷，如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历等，增加了数据暴露的风险。

面对越来越多的 API 攻击和数据泄露风险，企业需要从多个维度来构建防御体系，更需要基于风险情报来构建攻击检测模型，做到及早感知及时防御，从而保障企业及其用户的数据安全。

对内，企业需要加强 API 安全的建设。以 API 资产为中心，全面梳理 API 资产、发现阻断 API 攻击，提升风险事件的响应速度。让企业可以非常清晰、量化地知道自己的 API 资产及其安全风险，包括及时了解 API 开放数量、API 活跃状态、僵尸 API、缺陷 API、涉敏 API 以及 API 中流动的敏感数据等情况。

在今年 OWASP 发布的 API 安全 Top 10 列表中，同样强调了精准管理、及时更新 API 资产的重要性。

对外，企业可以借助 “情报” 及早感知 API 风险。攻击者在进行 API 攻击时，会用到各类资源、工具。攻击者可以伪装，但其在攻击过程中使用的攻击资源、工具及其行为却无法隐瞒。“情报” 便是攻防对抗中，这些攻击者无法隐瞒、无法绕过的点。

从攻击者视角出发，基于 “情报” 构建风险识别体系，清晰了解 “攻击者在什么社群、使用了哪些工具、通过什么攻击要素、做出怎样的攻击行为”，从而更快更准地发现新的攻击风险。

威胁猎人基于风险情报构建的 API 安全管控平台，能够梳理系统所有的敏感数据 API，评估 API 的认证授权、数据暴露和脱敏不一致等设计缺陷。

同时，基于风险情报构建 API 异常行为基线模型实时监测数据爬取行为，及时发现并阻断数据泄露风险，帮助企业实现从被动对抗到主动防御的角色转变。