摘要

永安在线发现一个针对中国数字政务的攻击团伙,以窃取公民数据为目的,所有攻击都以API安全风险为目标。这是我们首次发现大范围的针对中国基础设施的API架构攻击事件。

永安在线已经报案、相关风险也已经同步给对应部门。

API作为数字政务应用连接和数据传输的关键,承载着政务系统核心业务逻辑和大量敏感数据,逐渐成为黑产的重点攻击对象。伴随着数字化转型的深入,API架构也变得更加复杂,给API安全管理带来极大的难度。在此背景下,API资产可视化和API风险可视化将成为政企数字化过程的必要基础设施。

近期,永安在线API风险情报平台监测到多起针对政务系统的恶意攻击事件,攻击者利用政务系统注册、查询等业务场景存在API逻辑缺陷进行攻击。从而获取用户身份证手机号或姓名、住址等个人隐私信息。

1. API安全风险成为数字政务的主要安全挑战,永安在线发现针对中国数字政务API风险团伙

通过对多起政务系统攻击事件进行溯源分析时,我们发现攻击者使用的作恶工具相同,并分析定位到该作恶工具访问同一个服务器地址。虽然黑产团伙不断地切换攻击目标,但是攻击手法呈现出了相同的特点。由此可以判断,这些攻击均出自同一个黑产团伙。

黑产团伙作恶工具截图:

从该黑产的作恶流量来看,目前这个黑产团伙仍在对多个省份的政务系统进行攻击,其中包括教育、医保、疾控等多个政务行业。数千万用户的个人信息有可能因此被泄露,其中包括公民手机号、个人身份证、医保信息、家庭信息等敏感信息。

以某市医保政务网为例,永安在线监测到该网站在不需要任何授权下,攻击者在API参数中填入身份证即可获取对应用户的医保信息,包括姓名、地址、医保缴纳等信息。

黑产团伙攻击后执行返回的结果:


而造成这种数据泄露的原因正是API自身的安全隐患。由于该医保政务网开放的数据查询接口没有做严格的身份校验、访问控制,任何攻击者都可以通过修改API参数获取到用户的医保信息。

政务系统作为民生联系最为紧密的应用,涉及大量的公民隐私信息,一旦发生网络安全事件,可能造成十分严重的后果

2. 数字政务的办事线上化的趋势,带来了API架构的复杂度提升,大幅提升了API安全管理难度

当前数字政务的安全建设主要集中在基础安全建设上,API架构的安全往往被低估了影响。而在最近几年,数字政务在大幅提升群众办事效率的同时,也开放了越来越对的API接口,这些API往往缺乏有效评估和管理。从近半年检测到的攻击事件来看,API风险以成为数字政务的主要安全威胁。

在正常情况下,用户通过输入身份证号,系统API会定位到身份证号所绑定的手机号并向其发送相关短信,从而实现登陆或查询目的。但由于一些业务场景的API存在逻辑问题,最终成为黑产团伙撬开公民数据“蜜罐”的利器。

其次,随着数字政务不断深入发展,政务部门线下业务逐步线上化,线上服务和数据对第三方逐步开放,越来越多应用程序深度依赖于API之间的开发和调用,API数量呈井喷式的增长。很多政务平台都不清楚自己拥有多少个API,以及API处于什么样的状态,没有对API资产进行良好的梳理和分组,导致API安全问题日益凸显。

其实不仅是政务行业,在其它行业也发生大规模针对API攻击事件。

根据永安在线情报平台捕获到的遭受自动化攻击的API数量来看,2022年1-3月遭受攻击的API数量均超过15万,逐月上涨,其中3月的数量达到了23.7万。

API存在安全缺陷是导致API被攻击的主要原因。

3. API资产可视化和API风险可视化是政企数字化过程的必要基础设施

面对当前严峻的API安全问题,无论是政府还是企业需要明确API安全建设的重要性,才能对症下药,达到事半功倍的效果。

1、首先,组织需要加强对API资产管理,通过对访问流量进行分析,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组,防止API接口滥用。同时,通过从API网关上获取API注册数据,与API资产进行对比,从找出僵尸API。

2、另外从发现、保护和分析三个维度出发,制定API安全检视列表。检视API的开发、测试以及部署环境的安全措施是否全面,并对API风险评估、API审计日志进行评估。

3、针对API面临的安全威胁,部署相关的API安全产品,防止API流量攻击,对API请求进行身份验证、授权和访问控制等,防止安全防护措施遗漏。

随着安全攻击技术的发展,政务系统的安全保障措施也需要因时因势变化,这样才能把风险降到最低。在API安全事件层出不穷的今天,无论组织现在处于API优先使用还是刚刚开始API辅助的数字化转型阶段,了解并重视API相关风险尤为重要。



永安在线拥手机号、IP风险等反欺诈画像产品

永安在线新一代API安全管控平台

以情报为基础,先于攻击者发现攻击面

安全每一个API


如有您也有API安全管理的烦恼

欢迎申请试用API安全管控平台


推荐阅读


1.永安在线API安全研究报告(2022年Q1)
2.为何要格外重视并积极应对API安全挑战?
3.通过两个数据泄露事件来分析数字政务在API安全上遇到的挑战
4.API 攻击分析:黑客利用大量IP低频爬取敏感数据
5.API 攻击分析:黑客利用大量IP低频撞库登录API