全网热议的“人大学生信息泄露事件”，API风险管理如何“未雨绸缪”？

可玩性 2023-07-10 16:20:21  65393

分类专栏：资讯

近日，一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜，引发全网热议。中国人民大学毕业生马某，在读硕士研究生期间通过非法技术手段，盗取了2014级到2022级学生的个人资料，包括：照片、姓名、学号、身高、籍贯、生日、所在学院等，并将这些信息放到网站“RUC IR FACE”中，供任何人随意浏览，甚至能够给该校女学生的颜值进行打分，据不完全统计涉及超过五万名学生。

马某现已被海淀公安局分局依法刑事拘留，但对于已经泄露了个人敏感信息的学生而言，受到的不良影响还在继续——

图源网络

参考过往数据泄露事件的原因分析，可以推断，造成此次数据泄露的一大原因是“API接口未做校验处理导致数据被爬取”，近年以来，全国各地不断出现数据泄露事件，很多都是由API接口安全问题导致：

2018年8月，国内某大型购物软件平台报警称有黑产批量爬取加密数据，爬取字段量巨大，平均每天爬取数量500万，爬取内容包括用户评价内容、昵称等敏感字段。

2020年3月，国内某大型社交媒体平台因用户查询接口被恶意调用导致 App 数据泄露。

2023年2月，Telegram 机器人爆出国内大规模个人信息泄露事件。根据机器人管理员提供的navicat截图，这次泄露所涉数据规模十分庞大，数据量为4541420022条（45亿），数据库大小为 435.35 GB，所涉及的数据包括电商和快递物流行业数据。

2023年6月，某车企电商平台被曝存在API漏洞，使攻击者有机会为任何帐户重置密码，从而窃取用户数据，恶意操作和修改客户数据、经销商信息以及网站数据等。

……

伴随着各企业数字化转型，API使用呈现指数级增长，巨大的流量和访问频率也让数据安全风险面变得更广、影响更大，API 安全成为当今时代数据安全保护的重要一环。API作为与后端服务建立连接的唯一入口，承载大量敏感数据和应用各组件数据的流动，API接口防护不到位时，很容易造成数据泄露发生。

面对攻击面的变化及攻击者手段的隐秘多变，企业在数字化转型的过程中，应在把握自身现状的基础上加强内部风险管理、做好 API 全生命周期安全管控、建立健全业务漏洞应急响应制度，从根本上提升数据安全及合规能力，有效形成数据信息保护的防御闭环。

1 API资产发现与管理

对API进行深度资产梳理，通过主动、被动等识别方式，建立API资产台账，帮助安全团队了解不同应用程序使用的API 的业务属性以及对应API的关联性。

2 API漏洞识别

建设持续挖掘、收集 API安全漏洞的能力和机制，并做好补丁管理，包括引入第三方组件时充分考虑组件自身安全，避免引入安全漏洞。

3 异常行为检测

关注API高频访问、异常数量级数据访问、异常时间访问等异常行为，针对异常行为建立全面可视化管理。

4 敏感数据识别

数据分级分类治理，对API 访问的数据进行持续监测，自动梳理API 接口中的敏感数据流并生成 API接口与敏感数据的映射关系，确保个人隐私数据、商业数据以及其他敏感数据进行不被泄露。

5 建立认证授权体系

构建完整的认证授权体系，实现统一认证授权，对API内外部访问执行可信认证策略。

6 访问控制限制

对API 请求有一定限制策略，从系统的处理能力方面对 API请求做限流管控，缓解基于API的DDoS攻击，有效防止资源消耗在无意义或恶意的API请求上。

梆梆安全针对目前API市场存在的问题及需求，凭借自身多年来在数据采集、大数据分析、静态/动态检测等方面的经验和技术积累，推出“横向端到端风险关联、纵向多渠道全方位防护”的 API 安全解决方案，帮助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护四大安全问题。

数智时代，数据如同工业时代的石油一样，是信息时代国家重要的战略性、基础性资源。梆梆安全将将积极探索数据安全的创新范式，提供适应新要求、新形势下的新一代API风险解决方案，构建合规要求下的数据安全防护新思路，为政府、企业、开发者和消费者交付安全、稳固、可信的网络空间生态环境。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=25958

赞同 0

评论 0 条

全网热议的“人大学生信息泄露事件”，API风险管理如何“未雨绸缪”？

相关文章

关注我们