7 月 1 日,网友称中国人民大学一男生马某,在读硕士研究生期间,利用专业技术*取盗**全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分排名的网站 “RUC IR FACE”,引发广泛关注。
目前马某已被海淀公安局分局依法刑事拘留,案件正在进一步调查中。
从爆料博主发布的网站截图看,这个名叫 “RUC IR FACE” 的网站疑似包含了从 2014 级到 2022 级所有人大本科、硕士、博士的个人资料,甚至可以从姓名、籍贯、所在学院等维度进行精确查询。
而根据马某此前微博暴露,其很可能是通过代码爬取了某个存放数据的 API 接口。
实际上,近几年由 API 攻击引发的大规模数据泄漏事件不在少数:
早在 2021 年 6 月,国内某大型电商平台由于 API 接口被爬虫攻击,导致用户 ID、昵称、手机号以及用户评价等敏感信息遭到泄露,超 11 亿 8 千多万用户受到影响。黑产团伙通过批量添加微信好友进行营销推广,非法获利数万元。
2022 年 7 月,Twitter 用户数据被网络犯罪分子在黑客论坛上以 3 万美元出售,涉及 540 万用户,包括 “从名人到公司” 的用户数据,后由 Twitter 证实,数据泄露是由网络犯罪分子利用 Twitter2021 年 12 月披露的一个 API 漏洞所造成。
随着数字化业务的高速扩展,API作为数据传输和业务承载的重要架构,扮演着越来越重要的角色。然而,近年来由于API攻击引发的大规模数据泄露事件屡见不鲜,这给企业和用户的数据安全带来了严重威胁。
如何保护自己的API,构建有效的API安全防御体系,成为每个企业和组织的当务之急。
而服务器监控、WAF和堡垒机作为常用的网络安全产品,可以在API安全防御体系中起到重要作用。
服务器监控是一种对服务器进行实时监测和管理的技术手段。通过服务器监控工具,管理员可以实时了解服务器的运行状态、资源利用情况、网络连接情况等,并及时发现异常行为。在API安全中,服务器监控可以监测到异常的API请求,例如频繁访问、大量数据*载下**等,从而及时发现可能的攻击行为。此外,服务器监控还可以记录日志并提供分析报告,帮助企业了解API的活动情况,从而进行行为分析和风险评估。
WAF(Web Application Firewall)是一种位于应用程序和客户端之间的安全防护设备,用于检测和阻止Web应用程序中的恶意攻击。WAF可以通过检查HTTP流量、过滤恶意请求、阻止注入攻击等方式,保护Web应用程序免受各种常见的攻击,例如SQL注入、跨站脚本攻击等。在API安全中,WAF可以监测和拦截针对API的恶意请求,保护API免受攻击者的利用。例如,在文章提到的案例中,如果服务器上部署了WAF,很可能能够检测到马某利用API接口爬取个人信息的异常行为,并及时拦截攻击。
堡垒机是一种用于访问控制和权限管理的安全设备。它通过集中管理服务器的登录认证、访问控制和会话录像等功能,有效防止内部人员滥用权限和发起未经授权的操作。在API安全中,堡垒机可以限制对API服务器的访问权限,只允许经过授权的用户进行API操作。这样可以减少非授权人员对API的滥用和攻击风险,并提高API系统的安全性。
服务器监控、WAF和堡垒机等网络安全产品在API安全中具有重要作用。通过服务器监控,管理员可以及时发现异常行为,并进行行为分析和风险评估;通过WAF,可以监测和拦截针对API的恶意请求,保护API免受攻击;通过堡垒机,可以限制对API服务器的访问权限,提高系统的安全性。在构建API安全防御体系时,企业可以综合运用这些网络安全产品,以提升API的安全性和整体的风险防范能力。