关于网络安全:一个由API未授权漏洞引发的百万级敏感数据泄露

114次阅读

共计 1730 个字符,预计需要花费 5 分钟才能阅读完成。

2023 年 4 月的某一天,腾讯平安专家 Leo 正在为某家医院的重保防护做第一轮的平安危险排查。

医院的专用 APP 是内部网络拜访最高的,也就是最大的危险敞口,须要重点排查。

Leo 下载 APP 进行测试后,发现该医院存在一个重大的问题,可能导致百万级敏感数据泄露……

他发现医院 APP存在 GraphQL 接口,可通过其自省性能获取所有 API 接口。

GraphQL是目前最为风行的查询语言之一,它可能让 API 变得笨重、灵便,而且对于开发人员非常敌对且不便他们进行疾速开发。

然而它也容易放过、甚至给应用程序服务器带来各种歹意的查问。并且随着 API 广泛被应用,针对它的攻打尝试也在迅速减少。这意味着开发人员和 API 生产者保障他们的 GraphQL API 平安至关重要。

在接下来对接口进行申请、测试的过程中,Leo 更是发现了 大量无需鉴权即可拜访的 API,能够间接获取病患身份、就诊信息等大量敏感数据,高达百万级。

除信息展现接口之外,Leo 还发现 存在大量未鉴权的数据批改 API,通过这些 API 能够任意登录别人账号、批改别人信息,甚至批改 APP 链接进而实现投毒攻打。

不可漠视的 API 平安

实际上,这并非个例,近年来 Web 利用数据泄露案例层出不穷。比如说 7 亿多 Linkedln 用户的数据泄露,并在暗网被售卖;Parler 网站波及 1000 万用户超过 60T 的数据透露;Clubhouse 泄露 130 万条用户记录……

究其根因,其实就是——API 不够平安。

在千行百业数字化转型的背景下,API 成为了数字化体验的核心,APP、Web 网站和小程序等利用的外围性能、微服务架构等均离不开 API 的反对。

不过,许多企业谋求疾速的 API 和应用程序交付,却并不理解本人领有多少 API,就更别提保障每个 API 都具备良好的拜访控制策略,未知的僵尸 API、未知的影子 API、未知的敏感数据裸露等亘古未有。

腾讯云 WAF-API 助力企业管控敏感数据

如何帮忙医院保障 API 平安,满足合规要求的同时避免敏感数据泄露呢?

治标求源,要想彻底收敛危险,首先须要深刻理解医院存在大量敏感数据泄露危险的起因。随着智慧医疗的遍及,医院和医疗机构越来越依赖于网络和 Web 应用程序来治理患者信息、诊断后果、药物处方等敏感数据。

而这些数据往往成为攻击者的指标,未经盘点的影子 API、存在逻辑破绽的 API、未鉴权的 API 等,往往是攻击者窃取敏感数据的突破口。因而做好 API 危险裸露面的辨认与管控就是敏感数据的重中之重。

隔靴搔痒,腾讯平安专家为医院部署了腾讯云 WAF-API 平安,能够通过以下形式帮忙医院无效治理 API,避免敏感数据泄露:

1、资产全自动发现:腾讯云 WAF-API 平安可能实时剖析业务拜访流量,主动发现及辨认业务流量中波及的 API 资产及利用场景,帮忙医院及时梳理并下线影子 API、僵尸 API,及时把控 API 裸露面,无效管制 API 裸露危险。

2、敏感数据防泄露:继续辨认 API 裸露面信息, 精准辨认 API 中相干参数与类型,内置敏感数据辨认规定,智能辨认身份证、手机号等 19 种敏感参数信息,笼罩《个保法》提及的个人身份信息、财产信息、上网信息、地位信息等信息类型,避免敏感信息泄露,确保数据安全。

3、异样事件管控闭环:继续检测 API 存在的各类平安危险,笼罩登录动作异样、用户身份验证相干异样、API 滥用、歹意调用接口耗费业务资源等类型危险事件,帮忙医院分级分类处理危险,一键增加专家建议的处理规定,助力安全事件疾速闭环,升高业务平安危险。

4、实时流量剖析报表:总览医院的 API 资产、危险数量及变化趋势,助力企业可视化治理 API 全生命周期防护,及时感知并处理威逼。

通过应用腾讯云 WAF-API 平安,医院能够大大降低敏感数据泄露的危险,保障患者信息和医疗数据的平安,同时进步医院网络和 Web 应用程序的整体安全性。

近日,腾讯平安重磅降级 WAF-API 平安能力,为了助力企业晋升数字平安免疫力,即日起限时凋谢 Web 利用防火墙、API 平安收费试用,高级版及以上版本客户,能够收费试用 15 天 API 平安模块。

点击浏览链接,一键中转腾讯云 WAF-API 操作文档。
https://cloud.tencent.com/document/product/627/79101

正文完
 0