車主信息泄露事件頻現，智慧停車平臺數據安全建設刻不容緩 - 網安

近幾年，在“智慧城市“的驅動下，方便停車場管理和市民停車的“智慧停車”平臺蓬勃發展。停車場接入“智慧停車”系統后，車主用手機掃一掃、輸入車牌號即可線上查詢和繳費，簡單方便快捷的同時，隨之而來的業務安全問題也逐漸暴露。

去年就有新聞報道安徽、江蘇、陜西、云南等地的多個“智慧停車”平臺可綁定他人車牌號，在無需驗證授權的情況下，他人能精準查詢到相關車輛出入停車場、繳費情況等信息，廣大車主表達對自己隱私的擔憂。

而更讓人恐慌的是，黑產已盯上了這類“智慧停車”平臺，通過頻繁、批量地對平臺的API查詢接口發起攻擊，來獲取車輛每個時段的停車信息，從而摸清任意車輛的行駛軌跡，甚至“順藤摸瓜”獲取更多隱私數據。這一點已得到永安在線情報人員的驗證。

1、"智慧停車"數據泄露事件分析，API安全不容忽視

永安在線情報研究人員從蜜罐監測到的流量中，發現有頻繁針對多個“智慧停車”系統的攻擊行為，這些“智慧停車”平臺基本覆蓋了市民能接觸到的大多數停車場。

通過分析發現，這些智慧繳費查詢API接口均存在未授權訪問漏洞，攻擊者很有可能是利用該漏洞爬取了大量用戶停車信息。

為進一步驗證，永安在線情報研究員對其中一個被攻擊的系統進行了分析：

黑產團伙通過IP代理平臺獲取大量IP，頻繁對智慧停車系統的查詢API接口進行攻擊，在輸入車牌號信息后，如車輛無入場，則反饋“車輛未入場”；如車輛有入場，則會返回該車輛相關停車信息，包括停車時間、地點、資費情況等。

此外，從攻擊代碼來看，黑產團伙還可以拿到車輛入場時拍的照片以及入場時間，如代碼圖所示：

也就是說，黑產團伙利用該API缺陷任意輸入一個車牌號，在不需要車主授權的情況下，就可以查詢到車輛在該系統里的某個停車場、入場時間、入場照片等信息。黑產可通過相關渠道進行信息售賣或者提供定位服務來獲利，比如最近在TG群里，就有人提供各種查詢服務，其中就有定位車輛、車位人的服務。

（黑產獲取到車輛信息）

此外，黑產還會根據這些信息順藤摸瓜獲取到車主的家庭住址、手機號、工作單位等更多隱私信息，這些隱私信息在地下黑市明碼標價出售，車主的信息有可能被用于各種用途，輕則賬號被盜，重則偽造身份進行借貸，給市民財產安全造成威脅，后果不堪設想。

2、智慧停車平臺要高度重視用戶隱私，構建好API安全防護體系

在這類事件中，不少企業認為只涉及到泄露用戶的某個停車信息，構不成法律責任。實則不然，黑產團伙通過大規模攻擊不同的智慧停車平臺，獲取到龐大的用戶數據，這些海量數據匯集在一起就有可能掌握到用戶的行駛軌跡以及其他的隱私信息。

《數據安全法》中明確強調了企業在保護數據安全中應承擔的責任，如拒不遵守法律或釀成重大數據泄露事故，企業將輕則約談、整改，或有一千萬元的罰款，重則暫停業務、停業整頓，或者是吊銷相關業務許可證、營業執照。一旦構成犯罪，還會被追究刑事責任。

因此，對于企業而言，一旦出現數據泄露情況，不僅面臨經濟損失和名譽損失，還會面臨違法風險甚至更嚴厲的處罰。在此情境下，企業需要加強自身的安全建設，尤其是針對API安全建設。API作為連接服務和傳輸數據的重要通道，它的廣泛應用及針對性安全策略的缺失也為企業帶來越發嚴重的數據安全問題，甚至已成為數據泄露的最大敞口，而智慧停車平臺因API 管控不當引發用戶數據泄露只是其中的一個例子。

針對于API安全防護，永安在線情報專家建議企業可以通過API資產梳理、缺陷評估、攻擊檢測三方面建立完整的API安全策略：

API資產梳理

全面、持續清點API接口，包括影子API和僵尸AP、老版本和功能重復的API，縮小風險暴露面；同時重點關注和監測API中的敏感數據，根據API上流動的數據類型對API進行分級分類，嚴格保護核心敏感數據。

API缺陷評估

在API資產和數據資產可見的基礎上，對API在設計和開發方面的漏洞進行持續、動態評估，檢測API在認證、授權、數據暴露、輸入檢查、安全配置方面是否存在漏洞可供攻擊者來利用。

API攻擊檢測

構建API訪問的行為基線，及時發現未知攻擊風險，如攻擊者利用大量的動態代理IP偽裝成正常流量低頻爬取API接口中的敏感數據。