梆梆资讯
API 安全专题(六)| T-Mobile 数据泄露事件频发,从漏洞攻击场景解码 API 安全
2023-02-21
近日,T-Mobile 被爆出存在 API 安全漏洞,攻击者利用该漏洞窃取了多达3700 万客户个人身份信息(PII) 。据 T-Mobile 内部消息,此次攻击从2022年 11 月开始,直到 2023年 1 月才被内部安全团队发现。这是自2018年以来,第8次因存在 API 安全漏洞导致的 T-Mobile 信息泄露事件。
T-Mobile 在提交给美国证券交易委员会的文件中提供了此次 API 漏洞的相关信息(包括特定账户数据),同时指出,此次“恶意“攻击中通过其 API 获取的数据“未经授权”。但针对 API 漏洞的安全应对思路,文件中缺少任何技术细节和相应防护手段。
T-Mobile 想搞清楚此次事件中 API 漏洞被攻击者利用的技术细节,需要回答以下问题:
T-Mobile 知道该 API 存在漏洞吗?
发生问题的 API 是否有相应的身份验证?
被攻击的 API 是在哪里暴露的?
此 API 上承载的是哪方面的业务?
API 漏洞常见攻击场景分析
梆梆安全技术专家从大多数因 API 漏洞导致的数据泄露事件中总结了以下四种攻击场景:
1. 缺乏 API 可见性和治理
在这种情况下,暴露的 API 容易被攻击者利用。此 API 没有任何防护措施,通常被称为影子(未知)、僵尸(过时)和幽灵 API,安全团队不了解且未记录该 API 。澳大利亚电信提供商 Optus 最近发生的 API 泄露事件(该公司已拨出 1.4 亿美元用于支付该事件的费用)属于此类。
2. API 滥用和误用
在这种情况下,攻击者可以通过有效凭据获得 API 的访问权限,此 API 的功能完全按照设计方式运行;然而,API 设计者/开发者忽略了有人滥用它产生的数据的可能性。这些类型的 API 滥用的例子有很多,包括 LinkedIn、Twitter、Peloton 以及最近 FBI 的 Infragard 计划经历的信息泄露事件。
3. 业务逻辑缺陷
在这种情况下,攻击者通过伪造令牌或者绕过验证等手段,获得 API 的访问权限,对 API 展开不法侵害。与此类 API漏洞相关的最常见威胁类型是损坏的对象级别授权,根据 OWASP API 安全Top 10列表,它是排名第一的 API 威胁。在这里,攻击者试图操纵 API 以获得对数据或功能的未授权访问。Experian、Facebook、Coinbase以及最近各种汽车制造商所经历的都是此类 API 威胁的典型例子。
4. 凭证被盗
在这种情况下,攻击者通过恶意手段获得的凭据或令牌访问 API。一旦获得特权凭证或令牌,攻击者就会利用 API 来进行数据获取,造成信息泄露。从对移动应用程序进行逆向工程,查看令牌是否以明文形式存储在应用程序的清单,到检查 Web/移动应用程序流量是否无意中暴露了 API 凭据,攻击者可以通过多种方式获取凭据或令牌。
T-Mobile 受到攻击的另一个重要原因与 API 攻击特征有关。API 攻击需要时间,不良行为者会花费数天、数周甚至数月(如 T-Mobile 的情况)来探索 API 业务逻辑中的弱点。为了发现这些威胁,组织还需要在较长时间内深入了解 API 行为。
在不断扩展和不断变化的 API 环境中,企业无法在开发和测试中发现所有潜在的业务逻辑缺陷,即使是非常安全和成熟的组织,也会受到 API 相关漏洞影响。面向未来,API 的安全建设将成为企业的重点工作。梆梆安全将结合自身多年的安全实践与技术优势,为企业用户提供适应新要求、新形势下的新一代 API 风险解决方案,构建合规要求下的数据安全治理体系,持续提高数据安全治理能力,加速赋能千行百业数字化转型。
参考链接:https://salt.security/blog/t-mobile-api-breach-what-went-wrong?
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1