既然API安全问题由来已久,那么API安全的真实情况到底如何? 不妨先来看一看2020年初的几起数据泄露事件。
2020年33月底,多家网络媒体爆料,某社交平台数据疑似大规模泄 露,涉及53亿多用户,随后社交平台的安全专员回复是在23018年底, 有黑客通过手机通讯录接口,伪造本地通讯录来获得手机号与平台用户 的关联,从而“薅走了一些数据”。针对此次API安全问题,平台已及时 加强了安全策略,并在不断强化。除了某社交平台之外,很多社交App 都有通过通讯录匹配好友的功能。2019年11月,Twitter就出现过利用通 讯录匹配功能获得百万推特用户账号和手机号的数据泄露事件,随后 Facebook关闭了这一功能。而到了2020年4月初,视频会议服务厂商 Zoom又被爆出发现多项安全漏洞,其中包含Facebook Graph API滥用导 致隐私数据泄露问题。除了这些安全事件外,近期的境外媒体报道的API安全事件还有如 下几件。
4月2日,GitLab API问题导致私有项目的名称空间泄露。
4月93日,WordPress插件Rank Math爆出严重的API安全漏洞,借此 漏洞可以直接修改users表信息。
4月16日,网媒报道findadoctor.com网站因API安全问题,导致美国 140万名医生信息泄露。
从如此密集的安全事件都与API相关,大致可以判断出API安全问 题普遍存在,甚至还比较严重。那么,到底导致API安全问题发生的原 因有哪些呢?
1.企业API安全意识不足
从攻击视角来看,当越来越多的企业使用API对外部开放其业务能 力,意图共建生态时,这种新型的攻击面是充满诱惑和不可舍弃的蛋 糕。面对众多开放的API,恶意攻击者往往通过并不复杂的恶意行为, 即可给企业造成重大的危害。发生过安全事件的企业因为造成损失会增 加对API的重视度,但未遭受影响的企业,仍缺乏对API的关注。在API 测试环节,很多团队要么不知道API漏洞,要么直接忽略了API安全测 试;而在API服务发布后,API提供者、API赞助商以及第三方API使用 厂商也在此领域缺少精力投入。这些情况导致API生态中各相关利益方 如API提供者、API赞助商、第三方API使用厂商等)责任不清、监督 失效,API安全处于无人管理的状态。
2.技术革新导致API安全风险增加
由于云计算的快速发展,越来越多的企业将应用和数据迁移至云 端,并暴露核心业务能力和流程相关的API为外部合作伙伴提供服务。 脱离了传统的内网或网络区域划分,云上应用的开发和集成、云端管理 API,被潜在的商业合作伙伴及攻击者使用,无形中使得API安全风险 增大。而大多数企业,没有人能完全掌握系统全部API,开发人员往往 也只是熟悉自己开发的相关模块,且很多技术开发人员认为采纳新的、 酷的技术更重要,在技术路线上选择新的特性,忽视API是否被攻击。 在这种缺少API安全性管理平台又未建立全面系统的API安全管理体系 的情况下,API安全风险更不可控。
3.API自身安全机制不足
企业将数据和能力通过API对外开放获取商机和便利的同时,也为 攻击者攻击提供了通道。为了达到目的,攻击者通过多种手段渗透 API,比如流量型的DDoS攻击、CC攻击;绕过身份鉴别或授权,非法 获取数据;逆向破解API客户端应用后,非法调用API服务。而因API服 务提供方、API开发团队、第三方合作伙伴等多方面原因,API自身的 安全机制存在缺陷,比如缺少身份鉴别或授权访问控制、缺少对敏感数 的加密保护或异常检测手段、缺少对API资产的生命周期管理,导致 很多低版本的影子API。在这些情况下,攻防对抗中API自身安全能力 不足将成为短板,无法应对攻击者发起的恶意行为,反而易成为突破口。