B站2.2亿余条用户信息只值7万元？B站：网传数据为错误信息；API安全形势严峻：38万台K8s API服务器暴露在公网 - 网安

B站2.2亿余条用户信息只值7万元？

B站：网传数据为错误信息

7月7日晚，B站回应了暗网疑似出售2.2亿余条用户数据的消息。B站称，“疑似用户数据泄露”的网传信息不实，公司经过全面技术排查和分析对比，确认网传的泄露数据为错误信息。

据此前报道，7月6日，一张在暗网叫卖2.2亿余条B站用户信息的截图在网上流传。在截图中显示这些数据将以0.5比特币或17.72以太币的价格出售。而在当天1比特币价格为138,255.77元，这代表2.2亿余条数据仅被叫卖69127.5元。

截图显示，帖子发布于7月6日凌晨，帖主称“中国youtube【哔哩哔哩】数据泄露2.3MM”，数量具体为221,223,698条，包括UID和手机号。其中UID为B站用户身份证明，属于公开数据。除了在帖子里展示的少量数据，帖主还提供了总计超过50万行的样本数据。

经过随机抽取的一些样本数据进行的验证，这些UID基本都能和B站的账号匹配上，从三位数到九位数都有。有的电话号码拨打显示空号，有的号码则能打通，但无法确定是不是同属于一个账号。

北京汉华飞天信安科技有限公司的总经理彭根认为，若仅仅是 UID和电话号码泄漏，首先可能是网站或者平台存在漏洞，也有可能是由于第三方接口的漏洞，导致了“拖库”（即在网络受到攻击后，被黑客盗用了他们的数据库文件）。第二种可能是平台内部的电脑中了病毒并被黑客说控制，要么就是在处理和备份 UID和电话号码的时候发生的泄露。

最近“暗网”一词常出现在各类信息泄露事件中。公开资料显示，暗网是指隐藏的网络，需要使用一些特定的软件、配置或者授权等才能登录。由于“暗网”具有匿名性等特点，容易滋生以网络为勾联工具的各类违法犯罪。

就在几天前，疑似招聘网站51job的姓名、性别、出生日期、地点、应聘岗位、薪酬预期以及联系方式等用户数据在暗网被打包出售。51前程无忧相关负责人表示，经过核实，目前公司数据库安全，没有出现异常。

成都无糖信息技术有限公司去年发布的《网络犯罪趋势研究报告》显示，数据信息是暗网中最热门的商品，在所有暗网交易类型中占比最高，达39.01%，而暗网销售量前十的商品包括“身份证活动轨迹查询”“身份证关联所有人信息”“保险公司数据”“淘宝母婴数据”“提取微信QQ好友”等。

API安全形势严峻：

38万台K8s API服务器暴露在公网

Shadowserver Foundation的研究人员发现，超过38万台开放Kubernetes API服务器暴露在互联网上，占全球可观测在线Kubernetes API实例的84%。

研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度，但研究结果表明，Kubernetes API服务器领域可能存在普遍性问题。

“虽然并不意味着这些实例完全开放或容易受到攻击，但这种访问级别很可能并非有意设置，这些实例是不必要暴露的攻击面。”Shadowserver在报告中称，“甚至还暴露了版本和构建信息。”

最密集的暴露API服务器集群位于美国，大约存在20.1万个开放API实例，占全部所发现开放服务器的53%。

围绕API安全问题的研究越来越多，这份报告提供了又一证据，表明很多组织都没有准备好防范、响应潜在API攻击，甚至都不了解此类攻击。

API安全事件所致数据泄露

根据Salt Security最近发布的《2022年API安全状态》报告，大约34%的组织完全没有API安全策略，另有27%的组织表示只制定了基本策略，仅包括最低限度的API 安全状态扫描和人工审查，毫无控制或管理措施。Noname Security委托451 Research开展的另一项研究发现，41%的组织在过去12个月内经历过API安全事件。其中，63%涉及数据泄露或遗失。

现代应用程序和云基础设施中，潜在API攻击面的范围十分巨大。根据451 Research的研究，大型企业平均有超过2.5万个API连接其基础设施，或在其基础设施中运行。而且这个数字注定还会继续增长。Gartner最近发布的2022年预测文档中，分析师表示，“由于API的爆炸性增长超过了API管理工具的管控能力”，三年后能够得到合理管控的企业API数量将不足50%。

Shadowserver发现的Kubernetes服务器暴露情况，反映出当今云安全领域中存在一个特别严重的问题。API往往是云基础设施管理中最弱的一环，因为它们往往位于控制平面核心位置，而控制平面负责处理云基础设施和应用程序的配置。

“所有云数据泄露都遵循相同的模式：控制平面损坏。控制平面是配置和运营云的API界面。API是云计算的主要驱动力，可将其视为‘软件中间人’，可供不同应用程序相互交互。”Snyk首席架构师兼Fugue（最近被Snyk收购）创始人Josh Stella解释道，“API控制平面是用于配置和操作云的API集合。但很遗憾，安全行业仍然落后于黑客，许多供应商解决方案并不能保护他们的客户免受针对云控制平面的攻击。”

在预测报告中，Gartner分析师认为，新兴的云和应用程序架构是现代应用程序开发持续交付模式的核心，而不断涌现的新建API是这一新兴架构不可或缺的一部分。

“这种情况类似早期的基础设施即服务（IaaS）部署，因为不受监管的API使用一路飙升。随着架构和运营技术的不断成熟，安全控制试图在新问题上应用旧范式。”Gartner表示，“这些控制措施可以作为临时解决方案，但安全控制和实践需要很长时间才能赶上新的架构范式。”

Shadowserver报告《38万台开放Kubernetes API服务器》：

https://www.shadowserver.org/news/over-380-000-open-kubernetes-api-servers/

文章来源：安全圈、安全内参