作者通過: Yang Sujian全知科技(杭州)有限公司
近年來,隨著API等資料介面應用範圍的快速增長,由於缺乏安全措施和監控預警機制,大規模資料洩露等安全事件頻頻發生。 以下是2023年因資料介面安全措施不足導致的一些資料安全事件的盤點,以供參考:
1、汽車行業漏洞嚴重:20家知名車企曝光車主個人資訊
2023年初,網路安全研究員Sam Curry和他的研究團隊發現,數十家全球頂級汽車製造商生產的車輛和聯網汽車服務存在許多API應用缺陷。福特等20多個知名品牌。此外,研究團隊還發現,Reviver、SiriusXM、Spireon等主流車聯網服務商的應用解決方案中也存在大量嚴重的API安全漏洞。 
2. 跨國移動運營商T-Mobile被洩露
2023 年 1 月曝光的無線巨頭 T-Mobile 正在積極調查一起可能影響 3700 萬使用者賬戶的資料洩露事件,客戶基本資訊的洩露包括姓名、賬單位址、電子郵件和**號碼等資料。 據T-Mobile稱,黑客未經授權通過應用程式程式設計介面(API)獲取了資料。 然而,這並不是T-Mobile的第一次重大網路安全事件,自2018年以來,T-Mobile已經連續8次因API安全漏洞而發生資訊洩露事件。 
3. ChatGPT遭遇資料洩露
今年 3 月下旬,ChatGPT 宣布遭遇資料洩露。 據悉,在3月20日之前,部分使用者可以看到其他人的聊天記錄片段,以及其他使用者的信用卡最後四位數字、到期日期、姓名、電子郵件位址和付款位址等資訊。 最初,該問題僅影響少數使用者,但 OpenAI 在對伺服器進行更改時犯了另乙個錯誤,使問題進一步惡化,受影響的使用者擴充套件到 12%的比率。 OpenAI 事後分析稱,該漏洞是在 Redis 客戶端軟體的開源庫 Redis -py 中發現的,攻擊者可以利用此漏洞向 Redis 資料庫傳送惡意 **,導致資料洩露。 
4、本田集團電商**漏洞導致資料洩露
今年早些時候,安全研究員伊頓·茲維亞爾(Eaton Zveare)發現了本田電子商務平台開放API的安全漏洞和資料洩露,並於3月中旬將這一發現通知了本田。 Zveare聲稱,他能夠利用安全性較差的應用程式程式設計介面(API)闖入豐田的GSPIMS系統,並完全訪問豐田的內部專案、文件和使用者帳戶,包括豐田外部合作夥伴的帳戶。 該問題涉及超過 14,000 名使用者和機密資訊,如果攻擊者可以利用該漏洞並新增自己的帳戶,它可能會長期訪問豐田的資料並影響該公司的全球運營。 
5. Johnson & Johnson Healthcare的資料庫無需授權即可訪問
Johnson & Johnson Healthcare Systems(“Jnssen”)最近通知其CarePath客戶,他們的敏感資訊已被洩露。 根據強生**的通知,該公司發現了乙個漏洞,該漏洞可以未經授權訪問CarePath資料庫,該漏洞可以未經授權訪問CarePath使用者名稱,聯絡資訊,出生日期,健康保險資訊,藥物資訊,醫療狀況資訊等詳細資訊,並且資料洩露影響了在7月2日之前註冊強生**服務的CarePath使用者。 2023. 這可能表明資料洩露發生在同一天,或者是資料庫備份遭到入侵。
6. 某招聘應用遭撞庫攻擊:黑客竊取300萬條資料
2023年12月,據央視新聞網報道,某求職招聘App的簡訊驗證碼介面被攻擊超過1300萬次。 **調查發現,2名嫌疑人利用**漏洞製作黑客軟體並進行“撞庫”攻擊,並在境外獲取了大量個人資訊和公司賬號資料**。 在逮捕現場查獲了330多條各公司和人員的資料。 根據嫌疑人的供述,他們發現**的簽名演算法比較單一,於是利用這個弱點編寫指令,製作黑客軟體進行“撞庫”攻擊。 
7、美國某知名基因檢測公司被黑客入侵或洩露30萬中國人的血液資料
2023年12月,這家美國基因檢測公司宣布,黑客利用客戶的舊密碼,通過撞庫攻擊,成功獲取了約690萬份使用者個人資料的個人資訊(部分被盜檔案資訊包括家族譜系、出生年份和地理位置等),並以1-10美元的價格出售。 其中包含大約 100 萬猶太人和 300,000 名中國人的樣本使用者資料。一些被盜的檔案資訊包括家族譜系、出生年份和地理位置。 
開展資料介面安全風險監控是避免資料洩露、篡改、濫用等的重要措施,2023年國家標準《資訊保安技術-資料介面安全風險監控方法》。該標準描述了資料介面要素之間的關係,分析了資料介面的脆弱性、介面不合理的資料承載資料的脆弱性、介面呼叫行為的威脅以及介面提供活動的威脅,並提出了資料介面安全風險的監控方法。
*:CCIA資料安全工作委員會。
編輯:Yoyo