多家金融借貸平臺遭受攻擊，大量用戶信息泄漏

一、API攻擊已成黑產竊取平臺用戶信息的重要途徑

金融借貸平臺的用戶數據，一直都是黑產眼中的香饃饃。黑產將獲取到的用戶信息在暗網或地下黑市出售給中介或其它競爭平臺，甚至是犯罪分子，以獲取高額收益。

過往，黑產竊取平臺用戶信息主要有以下幾種方式：

> 通過黑客手段入侵后臺，脫取后臺數據

> 勾結內鬼，暗地下載或導出用戶數據

> 第三方App或SDK，違規收集用戶信息

隨著安全治理和監管力度的加強，黑產想要通過這些方式竊取數據的難度越來越高。但“道高一尺，魔高一丈”，在巨大的利益驅使下，黑產不斷找尋其他突破口，通過攻擊平臺API接口獲取用戶信息，已經成為了黑產的重要途徑。

API作為平臺與用戶之間信息傳遞的橋梁，隨著金融行業數字化發展，其數量急劇增加，開放程度也越來越高。而現階段很多金融平臺在API安全建設方面相對薄弱，這就給了黑產可乘之機。

近年來黑產通過攻擊API竊取用戶信息的案例也越來越多，永安在線情報平臺之前有捕獲到多家銀行信用卡業務API接口被攻擊（詳情點擊：38家銀行API存在安全缺陷，“開放銀行”信息安全建設任重道遠），近期永安在線再次發現了多家金融借貸平臺的API接口遭受黑產團伙的攻擊，導致平臺大量用戶手機號泄露。

下文將對此次捕獲到的攻擊流量及事件危害進行分析，并提供相應的安全建議。

二、事件分析

1. 三類易遭受攻擊的API接口分析

通過對金融借貸平臺API接口的攻擊流量分析發現，攻擊者主要針對三種API接口進行攻擊：注冊接口、登錄接口和密碼找回接口。

黑產借助IP資源池大量的秒撥或代理IP，偽裝成正常用戶請求對API接口進行攻擊，利用接口本身的業務邏輯（根據傳入參數不同返回不同的信息或數值）就可以批量篩選出該平臺注冊用戶的手機號。

1）攻擊注冊接口

部分金融借貸平臺在用戶發起借貸申請的時候，會引導用戶先填入手機號進行注冊。

下圖是某金融借貸平臺注冊頁面：

以該平臺為例，前端會根據接口返回的值，給到用戶不同的提示：

如果注冊接口返回true，提示“該手機已注冊，輸入驗證碼直接登錄”；

如果注冊接口返回false，提示“該手機未注冊，輸入驗證碼并設置密碼，以完成注冊”。

按照這個邏輯，黑產通過批量攻擊注冊接口，在接口參數中傳入不同的手機號，再根據接口的返回值進行篩選，就可以篩選出已在該平臺注冊過的用戶手機號（即接口返回true的手機號）。

2）攻擊登錄接口

部分金融借貸平臺的登錄接口，存在錯誤提示不合理的缺陷：

輸入錯誤的手機號，接口返回“用戶不存在”；

輸入錯誤的密碼，接口返回“密碼輸入錯誤”。

黑產通過批量攻擊登錄接口，在登錄接口的請求參數中傳入不同的手機號和隨意構造的密碼，再根據接口的返回值進行篩選，可以獲取到大量平臺注冊用戶的手機號（即提示“密碼輸入錯誤”的手機號）。

下圖是永安在線情報平臺捕獲到的針對某金融借貸平臺API接口的部分攻擊流量，可以看到黑產每次發起請求，傳入的密碼就是固定的“1”：

3）攻擊密碼找回接口

部分金融借貸平臺的找回密碼功能，第一步需要用戶填入手機號。

下圖是某金融借貸平臺的密碼找回頁面：

以該平臺為例：

如果手機號未注冊，接口返回0，前端提示“該用戶尚未注冊，請先注冊”，然后跳轉到注冊頁面；

如果手機號已注冊，接口返回1，前端則跳轉到下一步（一般來說是發送手機短信驗證碼）。

黑產通過批量攻擊該接口，在參數參數中傳入不同的手機號，通過接口的返回值進行篩選，可以獲取到大量平臺注冊用戶的手機號（即接口返回1的手機號）。

2. API攻擊案例分析

以近期比較活躍的一個黑產團伙為例，對攻擊過程進行分析。

該團伙先是在國內某IDC機房租用服務器，將攻擊代碼部署在服務器上，然后對多個金融借貸平臺的API接口發起大規模的自動化攻擊：

該團伙通過黑產資源平臺獲取到大量的秒撥和動態代理IP，絕大多數IP發起的攻擊次數不超過10次，超過35%的IP甚至只發起一次攻擊：

這種利用秒撥或代理IP發起的攻擊，模擬正常請求流量，可以繞過平臺安全防護軟件的IP限頻策略，也能最大限度地避免被平臺察覺。

實際攻擊效果也非常“可觀”，所有遭受到攻擊的平臺當中，沒有1個平臺能識別或阻斷攻擊，攻擊成功率達到了100%。

三、事件危害

前文提到，黑產將獲取到的用戶信息在暗網或地下黑市出售給中介或其它競爭平臺，甚至是犯罪分子，以獲取高額收益。永安在線風險情報感知系統通過對TG群、暗網等渠道進行監測，發現了黑產在大量出售金融借貸平臺用戶信息，涉及姓名、手機號等。

對于受害者來說，其信息被泄漏的后果，輕則遭受頻繁的電話騷擾，重則會被實施精準的電話詐騙，造成巨大的財產損失。最典型的套路就是知道受害人在哪個平臺有借貸，冒充平臺客服誘導受害人以“保證金”、“服務費”、“手續費”或“影響征信”等名義往犯罪分子控制的銀行賬戶打錢。

對于金融平臺來說，因為泄漏客戶數據會招致大量的用戶投訴、法律處分或監管懲罰，經濟和品牌聲譽均會受損。近年來國家《數據安全法》、《個人信息保護法》等法律的相繼出臺，為各行業數據安全保護工作提出了嚴格要求，金融行業因其業務和數據的特殊性將面臨更嚴格的監管和標準要求。

四、安全建議

1.從整體防護角度來講

API安全應基于API的整個生命周期，圍繞設計、開發、測試、上線運行、迭代到下線的每一個環節加強安全監測和風險識別。

2.從高效防御層面來看

永安在線安全研究專家建議從API的上線運行階段入手，基于風險情報對API的流量分析，持續實現API和數據資產的梳理、漏洞的檢測、攻擊威脅感知，在摸底清楚資產基礎上，及時預警風險并止損，從而給到安全人員有更多的戰略時空資源和經驗總結來進行安全左移建設，逐漸實現API全生命周期的防護。

1）全面、動態梳理API和數據資產

API安全可控的前提需要對API資產的全面可視，通過對面向員工、合作企業、內部員工、開源組件和中間件的多種應用場景的API進行自動化梳理，全面了解API開放的數量、API的活躍狀況、有多少僵尸API或影子API、API是否涉敏或存在安全缺陷等信息，從不可知到全面可視，是企業API安全管理的基礎。

同時，還需對API中流動的敏感數據資產進行動態檢測和分級分類，明確有哪些類型的敏感數據分布在哪些API上，確保企業流動數據清晰可見。

2）持續、高效檢測API安全缺陷

在API資產和數據資產可見的基礎之上，企業還需要對API在設計和開發方面存在的缺陷進行評估，檢測API在認證、授權、數據暴露、輸入檢查、安全配置方面是否存在漏洞可供攻擊者來利用。

永安在線基于代理蜜罐情報可以持續跟蹤攻擊者如何利用新型API漏洞來進行攻擊，通過對新型攻擊面和攻擊特征的分析，持續迭代優化API漏洞檢測引擎，覆蓋業務API的邏輯漏洞以及開源系統API的未授權漏洞。

3）及時、精準感知API攻擊和數據泄露

從前文來看，攻擊者利用大量秒撥或動態代理IP，偽裝成正常的請求流量，對金融借貸平臺API進行攻擊，這種攻擊方式可直接繞過傳統安全產品的限頻策略，企業很難及時感知并阻斷風險。

基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號、行為等情報資源來構建API訪問的行為基線，利用機器學習檢測API訪問序列中的異常行為，可以及時告警撞庫、掃號、數據爬取、賬號爆破、漏洞掃描等攻擊風險，幫助企業及時識別風險并進行預警。