车主信息泄露事件频现，智慧停车平台数据安全建设刻不容缓 - 网安

近几年，在“智慧城市“的驱动下，方便停车场管理和市民停车的“智慧停车”平台蓬勃发展。停车场接入“智慧停车”系统后，车主用手机扫一扫、输入车牌号即可线上查询和缴费，简单方便快捷的同时，随之而来的业务安全问题也逐渐暴露。

去年就有新闻报道安徽、江苏、陕西、云南等地的多个“智慧停车”平台可绑定他人车牌号，在无需验证授权的情况下，他人能精准查询到相关车辆出入停车场、缴费情况等信息，广大车主表达对自己隐私的担忧。

而更让人恐慌的是，黑产已盯上了这类“智慧停车”平台，通过频繁、批量地对平台的API查询接口发起攻击，来获取车辆每个时段的停车信息，从而摸清任意车辆的行驶轨迹，甚至“顺藤摸瓜”获取更多隐私数据。这一点已得到永安在线情报人员的验证。

1、"智慧停车"数据泄露事件分析，API安全不容忽视

永安在线情报研究人员从蜜罐监测到的流量中，发现有频繁针对多个“智慧停车”系统的攻击行为，这些“智慧停车”平台基本覆盖了市民能接触到的大多数停车场。

通过分析发现，这些智慧缴费查询API接口均存在未授权访问漏洞，攻击者很有可能是利用该漏洞爬取了大量用户停车信息。

为进一步验证，永安在线情报研究员对其中一个被攻击的系统进行了分析：

黑产团伙通过IP代理平台获取大量IP，频繁对智慧停车系统的查询API接口进行攻击，在输入车牌号信息后，如车辆无入场，则反馈“车辆未入场”；如车辆有入场，则会返回该车辆相关停车信息，包括停车时间、地点、资费情况等。

此外，从攻击代码来看，黑产团伙还可以拿到车辆入场时拍的照片以及入场时间，如代码图所示：

也就是说，黑产团伙利用该API缺陷任意输入一个车牌号，在不需要车主授权的情况下，就可以查询到车辆在该系统里的某个停车场、入场时间、入场照片等信息。黑产可通过相关渠道进行信息售卖或者提供定位服务来获利，比如最近在TG群里，就有人提供各种查询服务，其中就有定位车辆、车位人的服务。

（黑产获取到车辆信息）

此外，黑产还会根据这些信息顺藤摸瓜获取到车主的家庭住址、手机号、工作单位等更多隐私信息，这些隐私信息在地下黑市明码标价出售，车主的信息有可能被用于各种用途，轻则账号被盗，重则伪造身份进行借贷，给市民财产安全造成威胁，后果不堪设想。

2、智慧停车平台要高度重视用户隐私，构建好API安全防护体系

在这类事件中，不少企业认为只涉及到泄露用户的某个停车信息，构不成法律责任。实则不然，黑产团伙通过大规模攻击不同的智慧停车平台，获取到庞大的用户数据，这些海量数据汇集在一起就有可能掌握到用户的行驶轨迹以及其他的隐私信息。

《数据安全法》中明确强调了企业在保护数据安全中应承担的责任，如拒不遵守法律或酿成重大数据泄露事故，企业将轻则约谈、整改，或有一千万元的罚款，重则暂停业务、停业整顿，或者是吊销相关业务许可证、营业执照。一旦构成犯罪，还会被追究刑事责任。

因此，对于企业而言，一旦出现数据泄露情况，不仅面临经济损失和名誉损失，还会面临违法风险甚至更严厉的处罚。在此情境下，企业需要加强自身的安全建设，尤其是针对API安全建设。API作为连接服务和传输数据的重要通道，它的广泛应用及针对性安全策略的缺失也为企业带来越发严重的数据安全问题，甚至已成为数据泄露的最大敞口，而智慧停车平台因API 管控不当引发用户数据泄露只是其中的一个例子。

针对于API安全防护，永安在线情报专家建议企业可以通过API资产梳理、缺陷评估、攻击检测三方面建立完整的API安全策略：

API资产梳理

全面、持续清点API接口，包括影子API和僵尸AP、老版本和功能重复的API，缩小风险暴露面；同时重点关注和监测API中的敏感数据，根据API上流动的数据类型对API进行分级分类，严格保护核心敏感数据。

API缺陷评估

在API资产和数据资产可见的基础上，对API在设计和开发方面的漏洞进行持续、动态评估，检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。

API攻击检测

构建API访问的行为基线，及时发现未知攻击风险，如攻击者利用大量的动态代理IP伪装成正常流量低频爬取API接口中的敏感数据。