38家銀行API存在安全缺陷,“開放銀行”信息安全建設任重道遠
隨著數字化轉型和“開放銀行”的發展,銀行應用程序接口(API)的安全邊界已經從封閉的局域網絡擴展到開放的互聯網。
對于金融行業來說,API是連接不同來源數據和承載業務邏輯的重要通道,通過開放API實現金融業務線上辦理和查詢、移動支付、業務融合等已成為許多銀行轉型數字化、生態化和形成競爭力的關鍵措施。
但是,隨著業務開放給銀行及其用戶帶來更多效益和便利的同時,背后的API安全及數據安全問題也日益凸顯。
近日,永安在線鬼谷實驗室結合捕獲到的API攻擊情報,對48家銀行信用卡業務接口(API)進行了安全評估,發現有38家銀行的信用卡業務的API存在安全缺陷,且至少有8家銀行的API已經遭受黑產攻擊并被爬取數據。
下文將以銀行信用卡業務API安全為例,剖析當下銀行API存在的安全挑戰,并提供有效的解決方案。
一、銀行信用卡業務API安全現狀
1. 38家銀行的信用卡接口存在API安全缺陷,至少8家已遭受攻擊
近期,永安在線鬼谷實驗室通過對48家銀行的線上信用卡業務接口(API)進行安全評估,發現其中有38家銀行的API存在安全缺陷。通過對捕獲到的攻擊情報進行分析發現,至少有8家銀行的信用卡業務已經遭受到了黑灰產發起的惡意攻擊。
情報數據顯示,攻擊者通過對銀行線上信用卡API進行批量自動化攻擊,可以查詢到任意用戶是否在該銀行申請了信用卡、申請時間、申請進度、申請卡類型等信息。
這些信息均屬于用戶個人隱私,一旦被泄露,很容易被犯罪分子惡意利用并實施詐騙等違法行為。永安在線通過長期對數據資產泄露情況監測發現,在暗網、地下黑市等地方已出現不少售賣銀行信用卡用戶個人信息的非法交易。
2. 20家銀行信用卡API存在未授權訪問等高危缺陷
永安在線鬼谷實驗室通過對攻擊流量進行分析發現,銀行線上信用卡業務的API存在安全缺陷是導致遭受攻擊的主要原因,主要有未授權訪問、不合理的錯誤提示和僵尸API三種缺陷問題。
未授權訪問是一種危害性和可利用性都非常高的缺陷。永安在線在報告中都曾提到過此類缺陷,需引起企業單位的重點關注。在本文的第二部分也會著重講解以上三種缺陷產生的原因及其危害。
3. 攻擊者攻擊手法高明,頻繁切換IP繞過安全策略
根據永安在線Karma情報平臺捕獲到的攻擊情報分析可知,攻擊者具備豐富的對抗經驗,采用動態代理IP進行低頻攻擊,超過80%的IP只發起2次攻擊就切換,只有不到6%的IP會發起3次以上的攻擊。
這種低頻攻擊方式可以繞過平臺自身的限頻策略,對于銀行來說,想要及時發現并阻斷攻擊是比較困難的。
二、銀行信用卡業務API安全缺陷分析
1. 未授權訪問
未授權訪問,屬于《OWASP API Security Top 10》中排名第一的“API 1:Broken Object Level Authorization(失效的對象級別授權)”,是危害最大的API安全缺陷之一,一旦被利用往往會導致嚴重的數據泄露事件。
48家銀行中有20家銀行的線上信用卡查詢API沒有做任何身份認證和權限的管控。攻擊者訪問接口時,只需在輸入參數中輸入身份證號,接口就會返回該身份證號所屬信用卡申請信息,包括申請時間、申請的信用卡類型、審批狀態等。
黑產利用這些信息即可完善自身的社工庫,并在黑市上售賣以牟利,甚至利用泄露的信息編造出更加“真實”的詐騙話術來進行詐騙。
2. 錯誤提示不合理
錯誤提示不合理,屬于《OWASP API Security Top 10》中排名第三的 “API 3: Excessive Data Exposure(過度的數據暴露)”。
48家銀行中有21家銀行的線上信用卡查詢API存在錯誤提示不合理缺陷問題。相關接口在獲取驗證碼時會返回錯誤提示信息,從而暴露了相關身份證是否在該銀行申請信用卡的信息。這類信息屬于個人的隱私數據,是沒必要且不應該暴露的。
黑產根據提示即可確定哪些用戶有申請信用卡,并將這些手機號在暗網或地下黑市進行售賣,導致用戶經常接到中介的電話騷擾甚至是電話詐騙,從而降低用戶對平臺安全性的信賴,造成用戶大量流失。
3. 僵尸API
僵尸API是指業務已經停止,但相關的API接口還未下線。僵尸API往往存在于企業安全視線之外,安全防護相對薄弱,很容易成為攻擊者的突破口。
很多銀行的業務不斷發展和變化,勢必會產生和迭代大量的API,如果銀行沒有持續對API資產進行盤點和管理,很可能會出現僵尸API的問題。
從API攻擊情報來看,這些存在僵尸API的銀行系統中,業務已經上線了新頁面和新接口,但老頁面和老接口仍然存在。有的銀行系統甚至老頁面都下線了,但老的API接口卻未下線,成為了黑產的攻擊入口。
三、銀行API安全挑戰應對措施
銀行信用卡API安全問題只是“開放銀行”趨勢下銀行業API安全問題的一個縮影。
隨著API技術、“開放銀行”的發展,銀行的網絡邊界逐漸模糊,其原有的防護措施已無法滿足面向全場景的安全需求,各種API接口暴露在互聯網擴大了銀行風險暴露面。
此外,API的爆發式增長與安全發展不平衡,使其成為數據安全中最薄弱的環節,并成為攻擊者進行數據攻擊的首選目標。
那么,銀行應如何應對“開放銀行”趨勢下的API安全挑戰?
從技術角度講,API安全應基于API的整個生命周期,圍繞設計、開發、測試、上線運行、迭代到下線的每一個環節加強安全監測和風險識別。
但從高效防御的層面來看,永安在線安全研究專家建議從API的上線運行階段入手,基于風險情報對API的流量分析,持續實現API和數據資產的梳理、漏洞的檢測、攻擊威脅感知,在摸底清楚資產基礎上,及時預警風險并止損,從而給到安全人員有更多的戰略時空資源來進行安全左移建設,逐漸實現API全生命周期的防護。
1. 銀行API資產的安全管理
- API資產動態盤點
API安全可控的前提需要對API資產的全面可視,全面了解API開放的數量、API的活躍狀況、有多少僵尸API或影子API、API是否涉敏或存在安全缺陷等信息,從不可知到全面可視,是銀行API安全管理的基礎。
永安在線API安全管控平臺根據輸入的流量,可對面向員工、合作企業、內部員工、開源組件和中間件的多種應用場景的API進行自動化梳理,建立API清單。
同時,可對API中流動的敏感數據資產進行識別和提取,支持敏感數據的自定義檢測和分級分類,確保流動數據持續更新和可見。
- 持續評估API安全缺陷
在API資產和數據資產可見的基礎之上,銀行還需要對API在設計和開發方面存在的缺陷進行評估,檢測API在認證、授權、數據暴露、輸入檢查、安全配置方面是否存在漏洞可供攻擊者來利用。
永安在線基于代理蜜罐情報可以持續跟蹤攻擊者如何利用新型API漏洞來進行攻擊,通過對新型攻擊面和攻擊特征的分析,持續迭代優化API漏洞檢測引擎,覆蓋業務API的邏輯漏洞以及開源系統API的未授權漏洞。
2. 業務情報風險及時感知
銀行是數據密集型行業,涉及大量金融信息,還有人臉、身份證、賬號密碼等個人敏感信息。數據資產價值越高,圍繞數據資產的攻擊就會越來越劇烈。從上文來看,攻擊者利用大量動態代理IP,偽裝成正常的請求流量,對銀行信用卡API中的敏感數據進行低頻爬取。這種攻擊方式可直接繞過傳統限頻策略或WAF等安全產品,銀行很難及時感知并阻斷風險。
永安在線基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號、行為等風險情報,構建API訪問的行為基線,利用機器學習檢測API訪問序列中的異常行為,可以及時告警撞庫、掃號、數據爬取、賬號爆破、漏洞掃描等攻擊風險,幫助銀行及時識別風險并進行預警。
永安在線基于風險情報實現API資產梳理、敏感數據梳理、API安全缺陷檢測和API攻擊風險感知四大能力,能夠讓銀行自動化盤點API和流動數據資產安全情況,及時感知敏感數據和業務的攻擊風險,先于攻擊者發現攻擊面,為銀行的數據和業務安全保駕護航。
為幫助金融機構、企業單位及時識別API攻擊風險,永安在線推出API風險雷達平臺,面向所有用戶免費開放,復制下方鏈接到瀏覽器即可注冊,實時監測和預警API風險,及時掌握業務風險攻擊路徑。
