上週小編給大家分享了分享了有關API安全的重要性的原因,本週分享的是API安全性相關風險的兩個實際案例。
第一個案例:思科“故意”向美國政府出售可侵入的視頻監控
美國思科公司(Cisco Systems)爲了解決一起指控其故意向美國聯邦和州政府機構出售含有嚴重安全漏洞的視頻監控系統的訴訟,同意支付860萬美元。根據相關消息,本案件是第一筆因未能達到網絡安全標準而賠償的“虛假索賠法(False Claims Act)”案件。這起訴訟始於八年前,也就是2011年,當時思科的承包商Net Design的一名員工,James Glenn指控思科,明知該軟件存在多個安全漏洞,仍將該視頻監控技術出售給聯邦機構。
根據《Hacker News》的法庭文件,2008年9月,Glenn和他的一個同事發現了思科視頻監控管理器(Cisco Video Surveillance Manager,VSM)套件存在多個安全漏洞。2018年10月,他們試圖向該公司彙報這些漏洞。
思科視頻監控管理器(Cisco Video Surveillance Manager,VSM)套件允許客戶通過一個集中的服務器來管理不同物理位置的多個攝像機,而允許遠程訪問該服務器。據報道,黑客們能夠通過這些漏洞,永久的未經授權的訪問這些視頻監控系統,還能夠繞過相關的安全措施,訪問所有的視頻源、系統上存儲的所有數據,修改或刪除這些視頻源。
Glenn向他當時工作的思科承包商Net Design彙報了思科的安全違規行爲之後不久,他就被解僱了,解僱理由爲公司削減成本。然而,在2010年,Glenn意識到思科從未解決過這些問題,也沒有通知客戶,這時他通知了美國聯邦機構,後者隨後提起訴訟,稱思科欺騙了購買該產品的美國聯邦、州和地方政府。
思科直接或間接地將其VSM軟件銷售給警察部門、學校、法院、市政辦公室和機場,以及美國國土安全部、特勤局、海軍、陸軍、空軍、海軍陸戰隊和聯邦應急管理局(FEMA)等許多政府機構。
“思科知道這些關鍵的安全漏洞至少有兩年半了,但它沒有通知已經購買並繼續使用VSM的政府實體。”相關訴訟聲明,“通過這些漏洞,未經授權的用戶可以控制所有的安全攝像頭並關閉它們,從而有效地關閉整個機場。或者,黑客們可以訪問大型實體的視頻檔案,以掩蓋或消除盜竊或間諜活動的視頻證據。”
在提起訴訟後,該公司承認了相關的漏洞(CVE-2013-3429、CVE-2013-3430、CVE-2013-3431),併發布了VSM軟件訴訟的更新版本。另外,思科最終同意支付860萬美元和解金,其中Glenn和他的律師將獲得160萬美元,其餘700萬美元將交給購買該產品的聯邦政府和16個州。針對最新的解決方案,思科發佈了一份官方聲明,並稱“沒有任何指控或證據表明,出現了任何未經授權的客戶視頻訪問。”不過,該公司補充說,視頻源“理論上可能受到黑客攻擊”,但訴訟並未指控有人利用了Glenn發現的漏洞。
任何潛在的隱私安全問題,都可能會給企業帶來巨大的風險。哪怕是已經銷售出的產品,一旦出現安全問題,都會給企業帶來風險責任。
第二個案例:由於糟糕的API,T-Mobile客戶數據遭遇竊取
T-Mobile錯過了允許獲取IMSI號碼、安全問題答案的bug。
上週,T-Mobile披露並修復了一個Web應用程序界面的bug,這個bug允許任何人只需提供一個電話號碼就可以查詢相關用戶的賬戶信息,包括客戶電子郵箱地址、設備識別數據,甚至賬戶安全問題的答案。Motherboard的Lorenzo Franceschi-Bicchierai代表一位匿名安全研究員出面,與T-Mobile聯繫並告知他們這個漏洞後,T-Mobile進行了修復。很顯然,這個漏洞也被其他人利用,來獲取信息,可以用來劫持客戶賬戶並將其轉移到新手機上。只要購買T-Mobile的SIM卡,就可以通過基於短信的雙重認證訪問其他賬戶。
據Franceschi-Bicchierai報道,網絡犯罪分子已經非常清楚http://wsg.T-Mobile.com上的應...,甚至有人在YouTube上創建了一個教程視頻,演示如何利用這個漏洞。一位消息人士告訴他,這個漏洞曾被用於試圖接管“理想的社交媒體賬戶”。
爲了劫持目標個人的社交媒體賬戶和其他與特定電話號碼相關的通信,黑客首先利用易受攻擊的API,從T-Mobile的系統中提取必要的賬戶數據。然後,利用這些數據呼叫T-Mobile客服,冒充客戶來說服客服爲他們的設備發送一張新的SIM卡。使用新的SIM卡,黑客可以接管目標號碼的電話服務,並通過短信重置目標社交媒體和其他使用手機進行雙重認證或賬戶恢復的賬戶。
由於信用報告機構Experian遭到黑客攻擊,T-Mobile的客戶已經成爲黑客攻擊的受害者。10月1日,Reuters報道稱,過去兩年裏,有1500萬人申請了T-Mobile賬戶,或通過該公司購買了新設備,這些數據都因Experian的漏洞而被曝光。但T-Mobile的一位發言人告訴Motherboard,該公司沒有發現任何證據表明該網站的漏洞影響了任何客戶賬戶。
由於API是給前端電腦自動調用的,因此一旦被攻破,數據損失量是非常大的。如果沒有完善的API安全體系,包括限流,惡意調用的自動發現和防範,會對企業核心數據造成巨大損失。全方位的API管理,安全可控至關重要。
未經同意,本文禁止轉載或摘編。