导语:美国一年一度的假日购物狂欢节于上周五正式拉开了序幕,与此同时,美国邮政总局和亚马逊却发生了两起安全事故,都与API使用不当有关,此次事件影响了数百万人,同时折射出网络安全策略中,一个常见却经容易被忽视的缺陷。
美国一年一度的假日购物狂欢节于上周五正式拉开了序幕,与此同时,美国邮政总局和亚马逊却发生了两起安全事故,都与API使用不当有关,此次事件影响了数百万人,同时折射出网络安全策略中,一个常见却经容易被忽视的缺陷。
这些数据曝光之际正值购物狂欢节,影响程度注定更加恶劣。根据Carbon Black周一发布的节日威胁报告,季节性网络攻击比去年增加了60%,在“网购星期一”期间达到顶峰,并且整个假期都处于较高水平。
Carbon Black威胁分析部门表示,他们经过对1600多万个端点的遥测数据的汇总后显示,假日攻击事件正在逐年上升:在2017年假日购物季,全球组织遭遇的网络攻击未遂事件增加了57.5%,而2016年同期,网络攻击未遂事件比正常水平增加20.5%。
正是在这种背景下,美国邮政服务网站上一个长达一年的漏洞被曝光,攻击者可以通过这个漏洞查询6000万企业用户的账户信息,包括电子邮件地址、账号、街道地址、邮件活动数据和电话号码。在某些情况下,攻击者甚至可以修改帐户的详细信息。
早在一年前,就有一名匿名的安全研究员发现并报告了这个问题,但直到Brian Krebs上周向美国邮政总局(USPS)报告后,问题才得到解决。它源于该服务的通知可见性特性中,API的一个身份验证缺陷,此项API能为广告公司或是需要大量群发邮件的组织提供邮件的近实时跟踪数据。
API漏洞意味着,这个基于浏览器的工具还允许任何人登录USPS.com修改其“通配符”搜索参数,而无需任何特殊身份验证。因此,任何人都可以请求给定数据集的所有记录,而无需搜索特定术语。
这可能会为让大量客户的信息遭到泄露,从而被用于许多(但非常有针对性)的网络钓鱼或社会活动中去,尽管美国邮政局表示,当前并没有证据表明该漏洞被利用了,但其也没有说明为什么一年前没有解决这个问题。
美国邮政局在一份电子邮件补充说,
计算机网络不断受到试图利用漏洞非法获取信息的犯罪分子的攻击。与其他公司一样,邮政的信息安全计划和检查服务采用的都是行业的最佳实践,通过对网络的不断监控以发现可疑活动。
WhiteHat Security负责战略和业务开发的副总裁Setu Kulkarni指出,在互联网级别的B2B连接方面,api是一把双刃剑。api在不安全的情况下,会破坏其之前建立的超级连接。
Kulkarni表示:
为了避免类似的缺陷,政府机构和公司必须在应用安全方面采取主动措施,而不仅仅是在漏洞发现后才被动解决。每一家处理消费者数据的企业都需要让信息安全成为首要任务,并有义务对易受攻击的渠道(api、网络连接、移动应用程序、网站和数据库)进行最严格的安全测试。依赖数字平台的组织需要教育和授权开发人员在整个软件生命周期(SLC)中使用安全最佳实践编写代码,并提供适当的安全培训和认证。
然而,即便是互联网巨头之一的亚马逊在这方面也会犯错误。亚马逊于上周通知客户,他们的电子邮件地址可能被无意中泄露,同样也是API导致的问题。至于一些具体的细节,比如受影响的客户数量,亚马逊表示,其服务器没有受到攻击,也没有泄露任何其他个人信息。尽管如此,一些研究人员还是指责该公司对这起事件负有责任。
Lastline威胁情报总监Andy Norton指出,通过亚马逊发给客户的通知,可以发现一两个细节:
亚马逊发送给客户的‘泄露’声明指出,如果客户的名字和电子邮件被无意中泄露给了未知方,受影响的用户不需要采取任何行动。亚马逊建议用户在打开邮件时格外小心和谨慎,并强调被钓鱼的风险。
API:一个容易被盯上的犯罪目标
API对于威胁行为者来说是一个有吸引力的攻击目标,因为它们充当连接不同服务的粘合剂——它们允许数据从一个区域自由的流到另一个区域,富的信息脉络。
Cequence首席执行官Larry Link表示:
API正成为越来越有吸引力的攻击目标,包括恶意的机器人攻击,因为API可以在客户扩展的数字生态系统中提供对其他应用程序和数据的访问。重要的是企业如何确保他们有适当的安全工具来实施保护。从攻击者的角度来看,地理分布式机器人攻击相对容易计划和执行,这就是为什么恶意机器人逐渐成为每个利用web、移动和API应用程序进行业务流程和客户参与的组织所面临的新的头号攻击威胁。
然而,尽管API吸引了网络犯罪分子的注意,并提供了如此关键的功能,但正如USPS和Amazon问题所展示的那样,在涉及数据安全时,它们经常会被忽视。然而,随着隐私规定变得越来越普遍,这种情况可能会改变。
Synopsys高级技术专员Tim Mackey表示:
在所有开发和采购团队中,理解传输给API的数据,以及验证返回数据的完整性的方法,应该成为审查过程的一部分。有了这些信息,API使用者就可以监视与API使用相关的任何安全披露。当您认为美国参议院商务委员会正在听取与CCPA和GDPR类似的国家数据保护法的简报时,组织应该将跟踪API依赖关系视为减少与潜在数据泄漏相关风险的核心策略。