从“人大学生信息被非法获取”事件看API风险管理的重要性

7月1日，网友称中国人民大学一男生马某，在读硕士研究生期间，利用专业技术盗取全校学生个人信息，包括照片、姓名、学号、籍贯、生日等，并搭建了给全校学生颜值打分排名的网站“RUC IR FACE”，引发广泛关注。

目前马某已被海淀公安局分局依法刑事拘留，案件正在进一步调查中。

从爆料博主发布的网站截图看，这个名叫“RUC IR FACE”的网站疑似包含了从2014级到2022级所有人大本科、硕士、博士的个人资料，甚至可以从姓名、籍贯、所在学院等维度进行精确查询。

图源：网络

威胁猎人关注到，据马某此前微博暴露，其很可能是通过代码爬取了某个存放数据的API接口。

实际上，近几年由API攻击引发的大规模数据泄漏事件不在少数：

早在2021年6月，国内某大型电商平台由于API接口被爬虫攻击，导致用户ID、昵称、手机号以及用户评价等敏感信息遭到泄露，超11亿8千多万用户受到影响。黑产团伙通过批量添加微信好友进行营销推广，非法获利数万元。

2022年7月，Twitter用户数据被网络犯罪分子在黑客论坛上以3万美元出售，涉及540万用户，包括“从名人到公司”的用户数据，后由Twitter证实，数据泄露是由网络犯罪分子利用Twitter2021年12月披露的一个API 漏洞所造成。

近几年，各行各业数字化驱动业务高速扩展，作为传输数据及承载业务逻辑的API架构变得越来越复杂。

企业很难及时了解API安全缺陷及流动的敏感数据情况，尤其在互联网、金融、教育等存在大量API及流动数据的行业，主要体现在：

1. API资产管理缺失

由于API增速很快，企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解，导致很多安全管理视线外的API暴露在互联网。

2. API存在安全缺陷

很多API未经严格的安全测试就上线，导致存在严重的安全缺陷，如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历等，增加了数据暴露的风险。

面对越来越多的API攻击和数据泄露风险，企业需要从多个维度来构建防御体系，更需要基于风险情报来构建攻击检测模型，做到及早感知及时防御，从而保障企业及其用户的数据安全。

对内，企业需要加强API安全的建设。以API资产为中心，全面梳理API资产、发现阻断API攻击，提升风险事件的响应速度。让企业可以非常清晰、量化地知道自己的API资产及其安全风险，包括及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况。

在今年OWASP发布的API安全Top 10列表中，同样强调了精准管理、及时更新API资产的重要性。

对外，企业可以借助“情报”及早感知API风险。攻击者在进行API攻击时，会用到各类资源、工具。攻击者可以伪装，但其在攻击过程中使用的攻击资源、工具及其行为却无法隐瞒。“情报”便是攻防对抗中，这些攻击者无法隐瞒、无法绕过的点。

从攻击者视角出发，基于“情报”构建风险识别体系，清晰了解“攻击者在什么社群、使用了哪些工具、通过什么攻击要素、做出怎样的攻击行为”，从而更快更准地发现新的攻击风险。

威胁猎人基于风险情报构建的API安全管控平台，能够梳理系统所有的敏感数据API，评估API的认证授权、数据暴露和脱敏不一致等设计缺陷。

同时，基于风险情报构建API异常行为基线模型实时监测数据爬取行为，及时发现并阻断数据泄露风险，帮助企业实现从被动对抗到主动防御的角色转变。