API安全已是数据泄露头号风险,92%的数据泄露来自爬虫

 

对近两年的数据泄露风险分析表明,API安全已是数据泄露头号风险,92%的数据泄露已来自业务API爬取  2021年6月,根据裁判文书网公开的判决案例显示,犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id,昵称,电话号码等信息11亿条。  

 

2021年4月Facebook5亿用户数据泄漏,根据暗网上公布的数据截图,涉及到用户的昵称,邮箱,电话,家庭住址的信息判断,为业务接口泄漏。  2020年微博的3.5亿数据的泄露,就是来自于终端APP的业务逻辑api被非法流量调用超过40亿次而导致。  2020年印尼最大的电商网站Tokopedia9100万用户信息泄漏,里面涉及到了用户曾经浏览到商品信息和订单信息,也为业务接口泄漏。

 

 

在新一轮科技革命的数字浪潮下,以大数据、云计算、区块链、人工智能等为代表的新信息技术在企业数字化进程中不断的融合创新,企业数字化转型的背后面临的是各种数据安全问题,随着数据流转节点的增多,各种API暴露在外被黑产利用并进行攻击的风险越来越大。

 

根据数据泄露监测平台统计,从2020年1月1日至今,共发生数据泄露事件21620起。涉及的行业包括金融、互联网、电商、教育等行业,详细图如下:

 

 

为什么企业会持续不断的发生这种问题?  

 

原因1:企业的业务迭代速度越来越快,对线上业务的API管理难度增加。  

大部分企业的线上业务API管控甚至是失控的(不知道有多少api,不知道新增了多少api,不知道都有什么风险,不知道未来会有什么风险)。

 

原因2:对企业的安全团队来说,线上业务的风险管理不单单是技术问题。  

业务安全要想做好需要业务方有足够强的主动配合意愿。不同于基础安全主要的风险平面是主机和应用,安全团队可以直接基于应用的特征去扫描和监控。业务场景的风险具备极强的业务特征,必须是双方共同协同的结果。

 

 

 

 

原因3:当黑灰产已经开始以业务风险为主要攻击平面的时候,企业的意识需要时间来转换。  

当前很多企业仍然认为企业安全的主要问题是主机和应用安全,对业务安全的问题意识不够,重视不够,进一步导致企业内部业务安全团队话语权不高,再加上第二点原因,进一步导致对于业务风险的管控是低效的。而黑灰产的高压且持续的攻击,让企业安全团队更多成为救火团队。