Twitter超540萬用戶數據被盜,背后透露了什么?
近日,Twitter超過540萬條用戶數據免費在暗網公開,引發媒體熱議。一起盤一盤事件背后的原因是什么?危害有哪些?
今年7月,網絡犯罪分子就在黑客論壇上以3萬美元出售Twitter數據庫,涉及540萬用戶,包括“從名人到公司”的用戶數據(當時并未免費公開),后由Twitter證實,數據泄露是由網絡犯罪分子利用Twitter2021年12月披露的一個API 漏洞所造成。
那么,攻擊者是如何利用Twitter API漏洞竊取用戶數據的?
一、通過API漏洞“掃號”竊取用戶信息
總的來說,TwitterAPI漏洞允許任何一方在沒有任何認證的情況下,通過提交電話號碼或電子郵件,獲得任何用戶的Twitter ID,使得攻擊者可以利用該漏洞進行大規模“掃號”攻擊。
攻擊者向Twitter的API接口提交手機號或電子郵件,API接口根據提交信息返回相關“提示”,由此,攻擊者判斷出該賬號是否注冊,并將“已注冊”賬號信息快速匹配賬戶ID。通過賬戶ID,攻擊者可以直接獲取用戶與Twitter賬號綁定的個人資料信息,包括名稱、位置信息、興趣愛好,甚至社會身份,并結合大數據分析輸出Twitter用戶賬號的精準畫像,從而針對用戶實施詐騙。
除Twitter以外,不少頭部企業因API接口存在問題屢遭攻擊,數據泄漏事件接二連三:
2020年3月,國內某大型分享交流平臺被爆出用戶查詢API接口被非法調用,導致5億平臺用戶的私人信息被攻擊者獲取并售賣到暗網。
2021年4月,Facebook平臺上的5.33億用戶數據泄漏,涉及國內用戶超67 萬,事后判定為業務API安全漏洞......
社交平臺大規模數據泄露后,數百萬用戶的私密信息被不法分子利用,其風險不可小覷。
二、數億數據泄露,后果遠超想象
中國互聯網絡信息中心《第49次中國互聯網絡發展狀況統計報告》顯示,截至2021年12月,有22.1%的網民,也就是超2億人遭遇個人信息泄露。
個人信息泄露后,平臺用戶會遭遇頻繁的電話騷擾、甚至被黑產利用個人信息進行詐騙,帶來資金盜用,惡意欺詐等一系列風險。尤其當公眾人物信息被曝光,極有可能引發人身及財產威脅。對于企業來說,數據泄露不僅會招致大量的用戶投訴,還有可能面臨法律處分或監管處罰,嚴重損害企業經濟及品牌聲譽。
近日,Facebook母公司Meta就因5.33億Facebook用戶個人數據被泄漏到互聯網上,而被愛爾蘭數據保護委員會(DPC)罰款2.65億歐元(約合近20億人民幣)。
三、API安全管控,刻不容緩
隨著數字化、API技術發展,網絡安全邊界逐漸模糊,其原有的防護措施已無法滿足面向全場景的安全需求,各種API接口暴露在互聯網,擴大了業務風險暴露面。
此外,API的爆發式增長與安全發展不平衡,使其成為數據安全中最薄弱的環節,并成為攻擊者進行數據攻擊的首選目標。
SaltSecurity報告中提到,在過去的12個月中,20%的組織由于API中的安全漏洞而引發數據泄露,95%的組織在API中遇到了安全問題。
然而,大多數組織并沒有準備好應對這些挑戰,超過三分之一(34%)的企業沒有API安全策略。
那么,企業應如何應對日益嚴峻、復雜的API安全挑戰?
API安全管控并非易事。業內API安全解決方案所采用的技術大多是“傳統規則引擎”,在API攻擊層面,很多時候攻擊請求中并未包含任何攻擊特征,因此傳統規則引擎在API風險識別上,很難從行為上區分威脅,也不具備標準化程度和規模化效應。
永安在線API安全管控平臺,基于“情報”(如攻擊IP、工具、賬號、行為等)構建API訪問的行為基線,且不受AI流量波動影響,可以快速判定API存在的風險攻擊事件,幫助企業全面梳理API資產、預防發現阻斷API攻擊、提升風險事件的響應速度、防止流動敏感數據泄漏。
1. 資產管理方面,從“雜亂無章”到“了如指掌”
API安全管控平臺內置資產梳理模塊,持續、動態、自動化梳理面向客戶、內部員工、合作伙伴、開源組件和中間件等場景下的API,建立完整API資產清單,幫助企業及時、動態地了解API開放數量、API活躍狀態、僵尸API、影子API、缺陷API、涉敏API等安全風險信息,確保企業流動數據清晰可見。目前,API資產識別率可達97.8%。
2. 缺陷檢測方面,從“撲朔迷離”到“一覽無余”
基于永安在線特有的情報技術和攻防研究,可持續跟蹤攻擊者如何利用新型API漏洞進行攻擊,并提取新型攻擊面和攻擊特征,持續優化API漏洞檢測引擎,能及時覆蓋最新的業務API邏輯漏洞和第三方組件、開源系統API的未授權漏洞等。
截至目前,平臺可支持64種API缺陷類型的檢測,包括未授權漏洞、越權漏洞、短信驗證碼泄露、關鍵數據未脫敏等等。此外,平臺已實現API安全缺陷自動化缺陷修復狀態判定,實現缺陷閉環處理,提升安全運營效率。
3. 風險感知方面,從“海量攻擊”到“精準告警”
API安全管控平臺基于廣覆蓋、高精準度的風險情報,構建API訪問的行為基線,利用機器學習檢測API訪問序列中的異常行為,可及時、有效地感知惡意注冊、掃號攻擊、撞庫攻擊、營銷欺詐、數據爬取、短信轟炸、敏感API境外訪問等場景的API風險事件。
尤其能解決攻擊者利用海量小號、秒撥代理IP發起的低頻、慢速、無特征的掃號撞庫、數據爬取、營銷欺詐行為,識別準確率不低于95%。
永安在線基于底層情報能力的長期積累,持續為廣大企業構建以業務優先為原則、可視、可控、可靠的API安全管理體系。
