随着数字化转型和“开放银行”的发展,银行应用程序接口(API)的安全边界已经从封闭的局域网络扩展到开放的互联网。
对于金融行业来说,API是连接不同来源数据和承载业务逻辑的重要通道,通过开放API实现金融业务线上办理和查询、移动支付、业务融合等已成为许多银行转型数字化、生态化和形成竞争力的关键措施。
但是,随着业务开放给银行及其用户带来更多效益和便利的同时,背后的API安全及数据安全问题也日益凸显。
近日,永安在线鬼谷实验室结合捕获到的API攻击情报,对48家银行信用卡业务接口(API)进行了安全评估,发现有38家银行的信用卡业务的API存在安全缺陷爬虫ip代理哪个好,且至少有8家银行的API已经遭受黑产攻击并被爬取数据。
下文将以银行信用卡业务API安全为例,剖析当下银行API存在的安全挑战,并提供有效的解决方案。
备注:本文不会公开披露任何一家银行的评估细节,如果您是某家银行的安全从业人员,想获取更多的信息,可以通过公众号后台留言或者发送邮件的方式与我们联系。
近期,永安在线家银行的线上信用卡业务接口(API)进行安全评估,发现其中有38家银行的API存在安全缺陷。通过对捕获到的攻击情报进行分析发现,至少有8家银行的信用卡业务已经遭受到了黑灰产发起的恶意攻击。
情报数据显示,攻击者通过对银行线上信用卡API进行批量自动化攻击,可以查询到任意用户是否在该银行申请了信用卡、申请时间、申请进度、申请卡类型等信息。
这些信息均属于用户个人隐私,一旦被泄露,很容易被犯罪分子恶意利用并实施诈骗等违法行为。永安在线通过长期对数据资产泄露情况监测发现,在暗网、地下黑市等地方已出现不少售卖银行信用卡用户个人信息的非法交易。
永安在线鬼谷实验室通过对攻击流量进行分析发现,银行线上信用卡业务的API存在安全缺陷是导致遭受攻击的主要原因,主要有未授权访问、不合理的错误提示和僵尸API三种缺陷问题。
未授权访问是一种危害性和可利用性都非常高的缺陷,需引起企业单位的重点关注。在本文的第二部分也会着重讲解以上三种缺陷产生的原因及其危害。
根据永安在线Karma情报平台捕获到的攻击情报分析可知,攻击者具备丰富的对抗经验,采用动态代理IP进行低频攻击,超过80%的IP只发起2次攻击就切换,只有不到6%的IP会发起3次以上的攻击。
这种低频攻击方式可以绕过平台自身的限频策略,对于银行来说,想要及时发现并阻断攻击是比较困难的。
48家银行中有20家银行的线上信用卡查询API没有做任何身份认证和权限的管控。攻击者访问接口时,只需在输入参数中输入身份证号,接口就会返回该身份证号所属信用卡申请信息,包括申请时间、申请的信用卡类型、审批状态等。
黑产利用这些信息即可完善自身的社工库,并在黑市上售卖以牟利,甚至利用泄露的信息编造出更加“真实”的诈骗线. 错误提示不合理
48家银行中有21家银行的线上信用卡查询API存在错误提示不合理缺陷问题。相关接口在获取验证码时会返回错误提示信息,从而暴露了相关身份证是否在该银行申请信用卡的信息。这类信息属于个人的隐私数据,是没必要且不应该暴露的。
黑产根据提示即可确定哪些用户有申请信用卡,并将这些手机号在暗网或地下黑市进行售卖,导致用户经常接到中介的电话骚扰甚至是电话诈骗,从而降低用户对平台安全性的信赖,造成用户大量流失。
僵尸API是指业务已经停止,但相关的API接口还未下线。僵尸API往往存在于企业安全视线之外,安全防护相对薄弱,很容易成为攻击者的突破口。
很多银行的业务不断发展和变化,势必会产生和迭代大量的API,如果银行没有持续对API资产进行盘点和管理求稳定的代理ip,很可能会出现僵尸API的问题。
从API攻击情报来看,这些存在僵尸API的银行系统中,业务已经上线了新页面和新接口,但老页面和老接口仍然存在。有的银行系统甚至老页面都下线了,但老的API接口却未下线,成为了黑产的攻击入口。
银行信用卡API安全问题只是“开放银行”趋势下银行业API安全问题的一个缩影。
随着API技术、“开放银行”的发展,银行的网络边界逐渐模糊,其原有的防护措施已无法满足面向全场景的安全需求,各种API接口暴露在互联网扩大了银行风险暴露面。
此外,API的爆发式增长与安全发展不平衡,使其成为数据安全中最薄弱的环节,并成为攻击者进行数据攻击的首选目标。
从技术角度讲,API安全应基于API的整个生命周期,围绕设计、开发、测试、上线运行公网ip代理上网、迭代到下线的每一个环节加强安全监测和风险识别。
但从高效防御的层面来看,永安在线安全研究专家建议从API的上线运行阶段入手,基于风险情报对API的流量分析,持续实现API和数据资产的梳理、漏洞的检测、攻击威胁感知,在摸底清楚资产基础上,及时预警风险并止损,从而给到安全人员有更多的战略时空资源来进行安全左移建设,逐渐实现API全生命周期的防护。
API安全可控的前提需要对API资产的全面可视,全面了解API开放的数量、API的活跃状况、有多少僵尸API或影子API、API是否涉敏或存在安全缺陷等信息,从不可知到全面可视,是银行API安全管理的基础。
同时,可对API中流动的敏感数据资产进行识别和提取,支持敏感数据的自定义检测和分级分类,确保流动数据持续更新和可见。
在API资产和数据资产可见的基础之上,银行还需要对API在设计和开发方面存在的缺陷进行评估,检测API在认证、授权每日免费代理ip国外、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。
银行是数据密集型行业,涉及大量金融信息,还有人脸、身份证、账号密码等个人敏感信息。数据资产价值越高,围绕数据资产的攻击就会越来越剧烈。从上文来看,攻击者利用大量动态代理IP,伪装成正常的请求流量,对银行信用卡API中的敏感数据进行低频爬取。这种攻击方式可直接绕过传统限频策略或WAF等安全产品,银行很难及时感知并阻断风险。
原标题:《38家银行API存在安全缺陷,“开放银行”信息安全建设任重道远》
