安全419关注到,专注于业务反欺诈和API安全的专业厂商威胁猎人(前“永安在线”)曝光了一起“智慧停车平台数据泄露”案件,据其介绍,2022年,威胁猎人风险情报平台捕获到一批“智慧停车平台”攻击工具,对多个“智慧停车平台”的API接口发起大规模攻击,非法盗取车辆的停车信息,包括车辆当前的停车位置、停车时长等,并借此掌握车主的行踪轨迹。
同时威胁猎人安全研究员发现不少黑产团伙在TG、暗网等渠道进行相关数据售卖,甚至明码标价:“800元,给车牌号就能查,1小时查到,误差20米以内。”安全研究员立即将最新情报同步至相关警方,江门市公安局对该事件高度重视,并展开深入调查。
在威胁猎人的协助下,江门市公安局成功破获该起“智慧停车平台数据泄露”案件,顺利抓捕非法获取公民个人行踪轨迹的跨省市作案特大犯罪团伙,涉案金额超100余万。
智慧停车数据泄露形势严峻 “寻车”黑产团伙作案猖獗
为深入了解“智慧停车平台”目前面临的风险情形及其安全建设现状,安全419联系到威胁猎人进一步了解该事件,在威胁猎人CSO邓欣的介绍下,“寻车”黑色产业链的隐秘面纱被缓缓揭开。
据邓欣介绍,威胁猎人协助江门公安破获的“智慧停车数据泄露案”的背后,暗藏着分工明确、配合严密的非法“寻车”产业。所谓“寻车”产业,即围绕非法找车需求而衍生的产业,在车主不知情或未经车主允许的情况下,将车辆的定位信息提供给他人,比如提供给催收公司、私家侦探甚至“寻仇”的仇家等。
该案件中,犯罪团伙的作案过程涉及黑产工具攻击、数据盗取、安装GPS、资金交易等环节,已然形成了一条完整的“寻车”业务链:
2022年初,犯罪团伙开始作案,利用技术手段对市场上十余个主流停车平台进行攻击,非法获取大量公民车辆位置和轨迹信息,并在TG、暗网等渠道进行服务推广;
随后,犯罪团伙根据上游贷款公司提供的“目标车辆”车牌号码,组织“贴手”到相关停车场将GPS定位设备“偷装”在车辆下方;
最终,犯罪团伙通过精准定位车辆行踪,获取车主更多隐私信息,向上游贷款公司售卖相关信息并提供定位服务,从中非法获利。
值得注意的是,该案的发生并非偶然事件,去年已有新闻报道,安徽、江苏、陕西、云南等地的多个“智慧停车平台”可任意绑定他人车牌号,在无需验证授权的情况下,能精准查询到任意车辆出入停车场、缴费情况等信息,广大车主对自身隐私安全表示担忧。
市民反映安徽池州智慧停车可绑陌生车牌还可查询
今年4月,威胁猎人风险情报平台还捕获到一批攻击停车场管理系统的工具,被攻击的停车管理系统服务商高达十余个,服务商旗下停车场覆盖广东、浙江、云南、安徽等地的全国30余个城市,服务了数百家智能停车场,日管理用户超过220万辆。
另外,从威胁猎人给部分智慧停车应用做安全评估的结果显示,应用中存在不少严重漏洞,如SQL注入、任意用户登录、信息泄漏等等,泄露的信息包括车主姓名、照片、身份证、手机号等。
智慧停车平台为何数据泄漏频发? API安全缺陷成其根本原因
如前所述,黑产团伙正在突破惯常的作案手段和边界,攻击目标朝着“智慧停车平台”等新兴数字化基础设施不断蔓延。在邓欣的深入介绍下,我们从风险趋势、攻击原因等维度进一步了解“智慧停车平台”面临的风险现状:
从网络风险趋势来看,人们的生活越来越数字化,数据不再只是以数据库和文件共享的方式存在,而是通过API来流动,企业线上业务及云上通讯都要靠API来实现。当API数量不断增多、应用范围不断扩大,各种API接口暴露在互联网,而企业现有的防护措施无法满足API安全管理的需求,业务风险暴露面随之扩大,很多行业的API都成为被攻击的重点目标,“智慧停车”也是其中之一。
从行业安全现状来看,近几年在智慧城市建设的驱动下,“智慧停车平台”发展迅速,几乎覆盖全国各地,其管理系统的应用越来越普遍,涉及车主数据量极大。由于当前智慧停车管理系统的API及流动数据安全的防护较为薄弱,甚至没有防护,攻击者很容易通过攻击这类平台,获取到车主及车辆轨迹信息,“智慧停车平台”也因此而成为黑产攻击的重点目标。
从黑产攻击原因来看,有需求就有市场,非法找车需求滋生出庞大的“寻车”产业,“寻车”业务链涉及黑产工具攻击、数据盗取、安装GPS、资金交易等环节,在利益的驱动下,“智慧停车平台”便成了黑产攻击并窃取数据的重要目标。
透过上述“智慧停车平台”面临的风险现状,我们可以看出其风险本质在于企业缺乏API建设与管理。对此邓欣指出,不少企业存在较大的API安全管理隐患,尤其对于传统安全防护能力弱,或者缺乏安全防护的行业,包括:
不了解企业API资产现状:数字化转型过程中,企业业务及应用系统更新快、API数量多,很多企业对API开放数量、访问关系、活跃状况、涉敏流动数据等不了解,容易存在API开发缺陷、缺乏第三方管理、运营中的误授权等问题。
不清楚存在哪些API缺陷:新增的数字化应用系统的API安全设计往往不够细致,普遍存在大量设计缺陷,对API在认证、授权、数据暴露、输入检查、安全配置等方面是否存在可被攻击者恶意利用的安全漏洞不可知,企业很难通过有限的人力来对API资产进行缺陷检测。
无法及时感知API风险:针对API发起的攻击流量无异于正常的业务请求,现有安全手段难以识别此类攻击风险,更难以追溯供给来源,容易造成大规模数据泄漏。
此外,基于威胁猎人的攻防情报研究,黑产各类攻击资源越来越专业化、市场化、模块化。以本次数据泄露事件中的“寻车”产业为例,其产业链不同层级的团伙分工明确又配合严密,攻击者在攻防对抗中通过利用动态代理IP资源、API查询缺陷等方式,伪装成正常的流量请求,对API进行低频、慢速攻击,可绕过传统的风险检测规则和模型,使得与黑产对抗、进行分析溯源的难度不断升级。
基于风险情报 构筑API安全管控闭环
面对越来越多的API攻击和数据泄露风险,企业需要从多个维度来构建防御体系。据安全419观察,传统安全手段在API安全防护方面往往显得力不从心,如在安全检测上,传统的漏洞扫描很难发现API或微服务上存在的安全问题;在安全防御上,流量安全防御设备也无法像在常规Web防护上发挥明显的防御价值。
那么,有效的API安全建设及管理成为企业提升整体安全水位的重点。根据威胁猎人多年技术研究和实践经验,邓欣建议基于风险情报来构建攻击检测模型,做到及早感知、及时防御,从而保障企业及其用户的数据安全。
1、以API资产为中心,持续动态梳理API资产,包括及时了解API开放数量、API活跃状态、僵尸API、影子API以及API中流动的敏感数据等情况,对API资产及其风险的了解更清晰、直观。
2、在API资产和数据资产可见的基础之上,借助“情报”持续跟踪攻击者如何利用新型攻击手段或漏洞对API进行攻击,及时告警撞库、扫号、数据爬取等攻击风险,提升风险事件的响应速度,实现主动防御。
业务风险不可小觑 API安全价值未来可期
通过挖掘这起典型案件背后的故事,安全419发现,数据泄漏风险往往伴随业务而生,API承载业务逻辑及大量流动数据,其安全建设是非常值得企业重视的。一方面,重业务、轻安全的情况仍较为普遍,不少企业对API安全建设不够重视,缺乏系统化的管理经验,忽略了API攻击所带来的巨大风险;另一方面,黑产攻击手段不断进化,API风险的感知和阻断难度越来越大,而传统的安全防护产品难以应对日趋复杂、高频的黑产攻击,这些都对企业数据安全管理与建设提出较大挑战。
威胁猎人提出的基于情报建立API安全基线的方式,加强对API攻击、数据泄露等风险的监测和预警,帮助企业构建高效的API安全管理闭环,为业界作出了有益的实践。相信随着API的广泛应用,会有越来越多的行业和用户逐渐认识和了解API安全的价值,打开API安全建设的新思路。