API安全性相关的两个实际案例

上周小编给大家分享了分享了有关API安全的重要性的原因，本周分享的是API安全性相关风险的两个实际案例。

第一个案例：思科“故意”向美国政府出售可侵入的视频监控

美国思科公司（Cisco Systems）为了解决一起指控其故意向美国联邦和州政府机构出售含有严重安全漏洞的视频监控系统的诉讼，同意支付860万美元。根据相关消息，本案件是第一笔因未能达到网络安全标准而赔偿的“虚假索赔法（False Claims Act）”案件。这起诉讼始于八年前，也就是2011年，当时思科的承包商Net Design的一名员工，James Glenn指控思科，明知该软件存在多个安全漏洞，仍将该视频监控技术出售给联邦机构。

根据《Hacker News》的法庭文件，2008年9月，Glenn和他的一个同事发现了思科视频监控管理器（Cisco Video Surveillance Manager，VSM）套件存在多个安全漏洞。2018年10月，他们试图向该公司汇报这些漏洞。

思科视频监控管理器（Cisco Video Surveillance Manager，VSM）套件允许客户通过一个集中的服务器来管理不同物理位置的多个摄像机，而允许远程访问该服务器。据报道，黑客们能够通过这些漏洞，永久的未经授权的访问这些视频监控系统，还能够绕过相关的安全措施，访问所有的视频源、系统上存储的所有数据，修改或删除这些视频源。

Glenn向他当时工作的思科承包商Net Design汇报了思科的安全违规行为之后不久，他就被解雇了，解雇理由为公司削减成本。然而，在2010年，Glenn意识到思科从未解决过这些问题，也没有通知客户，这时他通知了美国联邦机构，后者随后提起诉讼，称思科欺骗了购买该产品的美国联邦、州和地方政府。

思科直接或间接地将其VSM软件销售给警察部门、学校、法院、市政办公室和机场，以及美国国土安全部、特勤局、海军、陆军、空军、海军陆战队和联邦应急管理局（FEMA）等许多政府机构。

“思科知道这些关键的安全漏洞至少有两年半了，但它没有通知已经购买并继续使用VSM的政府实体。”相关诉讼声明，“通过这些漏洞，未经授权的用户可以控制所有的安全摄像头并关闭它们，从而有效地关闭整个机场。或者，黑客们可以访问大型实体的视频档案，以掩盖或消除盗窃或间谍活动的视频证据。”

在提起诉讼后，该公司承认了相关的漏洞（CVE-2013-3429、CVE-2013-3430、CVE-2013-3431），并发布了VSM软件诉讼的更新版本。另外，思科最终同意支付860万美元和解金，其中Glenn和他的律师将获得160万美元，其余700万美元将交给购买该产品的联邦政府和16个州。针对最新的解决方案，思科发布了一份官方声明，并称“没有任何指控或证据表明，出现了任何未经授权的客户视频访问。”不过，该公司补充说，视频源“理论上可能受到黑客攻击”，但诉讼并未指控有人利用了Glenn发现的漏洞。

任何潜在的隐私安全问题，都可能会给企业带来巨大的风险。哪怕是已经销售出的产品，一旦出现安全问题，都会给企业带来风险责任。

第二个案例：由于糟糕的API，T-Mobile客户数据遭遇窃取

T-Mobile错过了允许获取IMSI号码、安全问题答案的bug。

上周，T-Mobile披露并修复了一个Web应用程序界面的bug，这个bug允许任何人只需提供一个电话号码就可以查询相关用户的账户信息，包括客户电子邮箱地址、设备识别数据，甚至账户安全问题的答案。Motherboard的Lorenzo Franceschi-Bicchierai代表一位匿名安全研究员出面，与T-Mobile联系并告知他们这个漏洞后，T-Mobile进行了修复。很显然，这个漏洞也被其他人利用，来获取信息，可以用来劫持客户账户并将其转移到新手机上。只要购买T-Mobile的SIM卡，就可以通过基于短信的双重认证访问其他账户。

据Franceschi-Bicchierai报道，网络犯罪分子已经非常清楚http://wsg.T-Mobile.com上的应...，甚至有人在YouTube上创建了一个教程视频，演示如何利用这个漏洞。一位消息人士告诉他，这个漏洞曾被用于试图接管“理想的社交媒体账户”。

为了劫持目标个人的社交媒体账户和其他与特定电话号码相关的通信，黑客首先利用易受攻击的API，从T-Mobile的系统中提取必要的账户数据。然后，利用这些数据呼叫T-Mobile客服，冒充客户来说服客服为他们的设备发送一张新的SIM卡。使用新的SIM卡，黑客可以接管目标号码的电话服务，并通过短信重置目标社交媒体和其他使用手机进行双重认证或账户恢复的账户。

由于信用报告机构Experian遭到黑客攻击，T-Mobile的客户已经成为黑客攻击的受害者。10月1日，Reuters报道称，过去两年里，有1500万人申请了T-Mobile账户，或通过该公司购买了新设备，这些数据都因Experian的漏洞而被曝光。但T-Mobile的一位发言人告诉Motherboard，该公司没有发现任何证据表明该网站的漏洞影响了任何客户账户。

由于API是给前端电脑自动调用的，因此一旦被攻破，数据损失量是非常大的。如果没有完善的API安全体系，包括限流，恶意调用的自动发现和防范，会对企业核心数据造成巨大损失。全方位的API管理，安全可控至关重要。

未经同意，本文禁止转载或摘编。