威胁猎人基于独有的蜜罐技术，在全网部署代理蜜罐流量，伪装动态代理IP给黑产使用，从而能捕获到黑产进行攻击时的真实流量。

　　也就是说，攻击者利用平台存在的两个API缺陷组合的逻辑漏洞完成了这次攻击，成功爬取用户敏感信息。通过对攻击路径分析发现，攻击者在进行数据爬取时，会选择使用动态的代理IP进行攻击，达到隐蔽自身身份，以及绕过企业针对IP的限频限量的风控策略的目的。

　　同时，威胁猎人通过对“暗网、黑产论坛、匿名聊天平台”等黑产交易渠道的情报监测，发现大量保险行业的敏感数据正在被交易，字段包括“用户姓名、身份证、电话号码”等， 涉及人寿险、财产险、健康险等经营领域的国内多家Top级保险公司。

　　早在2021年6月，国内某网购平台由于两个API组合的逻辑漏洞，导致11.8亿的用户订单数据被攻击者非法爬取免费的换ip代理软件。

　　大规模数据泄露的背后，是针对用户的频繁营销推广骚扰及电信诈骗带来的钱财损失，是备受影响的企业品牌声誉和经济损失，甚至招致难以估量的监管处罚。

　　1、从研发角度，研发这两个API的可能是不同的人员，开发人员很难有意识地把这两个API关联起来，更难以预料到攻击者会如何组合API的调用逻辑进行攻击；

　　2、从测试角度，现有的安全工具通常不支持API组合的安全测试，更多的是单一维度的API安全测试，导致API组合漏洞及其风险更加难以把控；

　　3、从攻防角度，API的攻击没有明显的流量特征，传统安全设备难以发现；另一方面，攻击者会利用动态代理IP来进行爬取攻击，绕过了基于IP访问限频的安全策略，使得API风险（尤其是API组合漏洞）的感知难度进一步加大。

　　API承载大量流动数据，其安全建设是非常值得企业重视的。当前，API攻击带来的数据泄露量级大，存在高风险、不可控等问题。

　　一方面，企业对内需要加强API安全的建设，通过威胁猎人API安全管控平台，以API资产为中心，全面梳理API资产、发现阻断API攻击，提升风险事件的响应速度，以更完善的API安全管理与建设，实现“数据安全守卫战”的有效反击。

　　另一方面，企业对外需要借助“情报”及早感知API风险，减少风险管理的盲区，加强对API攻击、数据泄露等风险的监测和预警。

　　利用外部的风险情报平台，如威胁猎人Karma风险情报平台，可以从全网部署的蜜罐流量中捕获黑产针对企业API进行数据爬取的行为。

　　同时，威胁猎人风险情报平台还会从黑产论坛、暗网、交易市场等渠道监测到黑产传播、交易的全过程。除用户数据泄露监测外，提供网盘文件、文库文档、代码泄露等数据监测，通过全面的情报源帮助企业及时感知数据泄漏风险，实现从被动对抗到主动防御的角色转变。