美國郵政局、亞馬遜公司因API缺陷導致大量客戶資料暴露
美國一年一度的假日購物狂歡節於上週五正式拉開了序幕,與此同時,美國郵政總局和亞馬遜卻發生了兩起安全事故,都與API使用不當有關,此次事件影響了數百萬人,同時折射出網路安全策略中,一個常見卻經容易被忽視的缺陷。
這些資料曝光之際正值購物狂歡節,影響程度註定更加惡劣。根據Carbon Black週一釋出的節日威脅報告,季節性網路攻擊比去年增加了60%,在“網購星期一”期間達到頂峰,並且整個假期都處於較高水平。
Carbon Black威脅分析部門表示,他們經過對1600多萬個端點的遙測資料的彙總後顯示,假日攻擊事件正在逐年上升:在2017年假日購物季,全球組織遭遇的網路攻擊未遂事件增加了57.5%,而2016年同期,網路攻擊未遂事件比正常水平增加20.5%。
正是在這種背景下,美國郵政服務網站上一個長達一年的漏洞被曝光,攻擊者可以通過這個漏洞查詢6000萬企業使用者的賬戶資訊,包括電子郵件地址、賬號、街道地址、郵件活動資料和電話號碼。在某些情況下,攻擊者甚至可以修改帳戶的詳細資訊。
早在一年前,就有一名匿名的安全研究員發現並報告了這個問題,但直到Brian Krebs上週向美國郵政總局(USPS)報告後,問題才得到解決。它源於該服務的通知可見性特性中,API的一個身份驗證缺陷,此項API能為廣告公司或是需要大量群發郵件的組織提供郵件的近實時跟蹤資料。
API漏洞意味著,這個基於瀏覽器的工具還允許任何人登入USPS.com修改其“萬用字元”搜尋引數,而無需任何特殊身份驗證。因此,任何人都可以請求給定資料集的所有記錄,而無需搜尋特定術語。
這可能會為讓大量客戶的資訊遭到洩露,從而被用於許多(但非常有針對性)的網路釣魚或社會活動中去,儘管美國郵政局表示,當前並沒有證據表明該漏洞被利用了,但其也沒有說明為什麼一年前沒有解決這個問題。
美國郵政局在一份電子郵件補充說,
計算機網路不斷受到試圖利用漏洞非法獲取資訊的犯罪分子的攻擊。與其他公司一樣,郵政的資訊保安計劃和檢查服務採用的都是行業的最佳實踐,通過對網路的不斷監控以發現可疑活動。
WhiteHat Security負責戰略和業務開發的副總裁Setu Kulkarni指出,在網際網路級別的B2B連線方面,api是一把雙刃劍。api在不安全的情況下,會破壞其之前建立的超級連線。
Kulkarni表示:
為了避免類似的缺陷,政府機構和公司必須在應用安全方面採取主動措施,而不僅僅是在漏洞發現後才被動解決。每一家處理消費者資料的企業都需要讓資訊保安成為首要任務,並有義務對易受攻擊的渠道(api、網路連線、移動應用程式、網站和資料庫)進行最嚴格的安全測試。依賴數字平臺的組織需要教育和授權開發人員在整個軟體生命週期(SLC)中使用安全最佳實踐編寫程式碼,並提供適當的安全培訓和認證。
然而,即便是網際網路巨頭之一的亞馬遜在這方面也會犯錯誤。亞馬遜於上週通知客戶,他們的電子郵件地址可能被無意中洩露,同樣也是API導致的問題。至於一些具體的細節,比如受影響的客戶數量,亞馬遜表示,其伺服器沒有受到攻擊,也沒有洩露任何其他個人資訊。儘管如此,一些研究人員還是指責該公司對這起事件負有責任。
Lastline威脅情報總監Andy Norton指出,通過亞馬遜發給客戶的通知,可以發現一兩個細節:
亞馬遜傳送給客戶的‘洩露’宣告指出,如果客戶的名字和電子郵件被無意中洩露給了未知方,受影響的使用者不需要採取任何行動。亞馬遜建議使用者在開啟郵件時格外小心和謹慎,並強調被釣魚的風險。
API:一個容易被盯上的犯罪目標
API對於威脅行為者來說是一個有吸引力的攻擊目標,因為它們充當連線不同服務的粘合劑——它們允許資料從一個區域自由的流到另一個區域,富的資訊脈絡。
Cequence執行長Larry Link表示:
API正成為越來越有吸引力的攻擊目標,包括惡意的機器人攻擊,因為API可以在客戶擴充套件的數字生態系統中提供對其他應用程式和資料的訪問。重要的是企業如何確保他們有適當的安全工具來實施保護。從攻擊者的角度來看,地理分散式機器人攻擊相對容易計劃和執行,這就是為什麼惡意機器人逐漸成為每個利用web、移動和API應用程式進行業務流程和客戶參與的組織所面臨的新的頭號攻擊威脅。
然而,儘管API吸引了網路犯罪分子的注意,並提供瞭如此關鍵的功能,但正如USPS和Amazon問題所展示的那樣,在涉及資料安全時,它們經常會被忽視。然而,隨著隱私規定變得越來越普遍,這種情況可能會改變。
Synopsys高階技術專員Tim Mackey表示:
在所有開發和採購團隊中,理解傳輸給API的資料,以及驗證返回資料的完整性的方法,應該成為審查過程的一部分。有了這些資訊,API使用者就可以監視與API使用相關的任何安全披露。當您認為美國參議院商務委員會正在聽取與CCPA和GDPR類似的國家資料保護法的簡報時,組織應該將跟蹤API依賴關係視為減少與潛在資料洩漏相關風險的核心策略。