作者通過: Yang Sujian全知科技(杭州)有限公司
近年来,随着API等数据接口应用范围的快速增长,由于缺乏安全措施和监控预警机制,大规模数据泄露等安全事件频频发生。 以下是2023年因数据接口安全措施不足导致的一些数据安全事件的盘点,以供参考:
1、汽车行业漏洞严重:20家知名车企曝光车主个人信息
2023年初,网络安全研究员Sam Curry和他的研究团队发现,数十家全球顶级汽车制造商生产的车辆和联网汽车服务存在许多API应用缺陷。福特等20多个知名品牌。此外,研究团队还发现,Reviver、SiriusXM、Spireon等主流车联网服务商的应用解决方案中也存在大量严重的API安全漏洞。 
2. 跨国移动运营商T-Mobile被泄露
2023 年 1 月曝光的无线巨头 T-Mobile 正在积极调查一起可能影响 3700 万用户账户的数据泄露事件,客户基本信息的泄露包括姓名、账单地址、电子邮件和**号码等数据。 据T-Mobile称,黑客未经授权通过应用程序编程接口(API)获取了数据。 然而,这并不是T-Mobile的第一次重大网络安全事件,自2018年以来,T-Mobile已经连续8次因API安全漏洞而发生信息泄露事件。 
3. ChatGPT遭遇数据泄露
今年 3 月下旬,ChatGPT 宣布遭遇数据泄露。 据悉,在3月20日之前,部分用户可以看到其他人的聊天记录片段,以及其他用户的信用卡最后四位数字、到期日期、姓名、电子邮件地址和付款地址等信息。 最初,该问题仅影响少数用户,但 OpenAI 在对服务器进行更改时犯了另一个错误,使问题进一步恶化,受影响的用户扩展到 12%的比率。 OpenAI 事后分析称,该漏洞是在 Redis 客户端软件的开源库 Redis -py 中发现的,攻击者可以利用此漏洞向 Redis 数据库发送恶意 **,导致数据泄露。 
4、本田集团电商**漏洞导致数据泄露
今年早些时候,安全研究员伊顿·兹维亚尔(Eaton Zveare)发现了本田电子商务平台开放API的安全漏洞和数据泄露,并于3月中旬将这一发现通知了本田。 Zveare声称,他能够利用安全性较差的应用程序编程接口(API)闯入丰田的GSPIMS系统,并完全访问丰田的内部项目、文档和用户帐户,包括丰田外部合作伙伴的帐户。 该问题涉及超过 14,000 名用户和机密信息,如果攻击者可以利用该漏洞并添加自己的帐户,它可能会长期访问丰田的数据并影响该公司的全球运营。 
5. Johnson & Johnson Healthcare的数据库无需授权即可访问
Johnson & Johnson Healthcare Systems(“Jnssen”)最近通知其CarePath客户,他们的敏感信息已被泄露。 根据强生**的通知,该公司发现了一个漏洞,该漏洞可以未经授权访问CarePath数据库,该漏洞可以未经授权访问CarePath用户名,联系信息,出生日期,健康保险信息,药物信息,医疗状况信息等详细信息,并且数据泄露影响了在7月2日之前注册强生**服务的CarePath用户。 2023. 这可能表明数据泄露发生在同一天,或者是数据库备份遭到入侵。
6. 某招聘应用遭撞库攻击:黑客窃取300万条数据
2023年12月,据央视新闻网报道,某求职招聘App的短信验证码接口被攻击超过1300万次。 **调查发现,2名嫌疑人利用**漏洞制作黑客软件并进行“撞库”攻击,并在境外获取了大量个人信息和公司账号数据**。 在逮捕现场查获了330多条各公司和人员的数据。 根据嫌疑人的供述,他们发现**的签名算法比较单一,于是利用这个弱点编写指令,制作黑客软件进行“撞库”攻击。 
7、美国某知名基因检测公司被黑客入侵或泄露30万中国人的血液数据
2023年12月,这家美国基因检测公司宣布,黑客利用客户的旧密码,通过撞库攻击,成功获取了约690万份用户个人资料的个人信息(部分被盗文件信息包括家族谱系、出生年份和地理位置等),并以1-10美元的价格出售。 其中包含大约 100 万犹太人和 300,000 名中国人的样本用户数据。一些被盗的文件信息包括家族谱系、出生年份和地理位置。 
开展数据接口安全风险监控是避免数据泄露、篡改、滥用等的重要措施,2023年国家标准《信息安全技术-数据接口安全风险监控方法》。该标准描述了数据接口要素之间的关系,分析了数据接口的脆弱性、接口不合理的数据承载数据的脆弱性、接口调用行为的威胁以及接口提供活动的威胁,并提出了数据接口安全风险的监控方法。
*:CCIA数据安全工作委员会。
编辑:Yoyo