美国邮政局、亚马逊公司因API缺点致使大批客户数据袒露 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

美国邮政局、亚马逊公司因API缺点致使大批客户数据袒露

申博_新闻事件 申博 138次浏览 已收录 0个评论

美国一年一度的沐日购物狂欢节于上周五正式拉开了尾声,与此同时,美国邮政总局和亚马逊却发生了两起平安事故,都与API运用不当有关,此次事宜影响了数百万人,同时折射出收集平安战略中,一个罕见却经轻易被无视的缺点。

这些数据暴光之际正值购物狂欢节,影响程度必定越发卑劣。依据Carbon Black周一宣布的节日要挟申报,季节性收集进击比客岁增添了60%,在“网购星期一”时期到达巅峰,而且全部假期都处于较高程度。

Carbon Black要挟剖析部分透露表现,他们经由对1600多万个端点的遥测数据的汇总后显现,沐日进击事宜正在逐年上升:在2017年沐日购物季,环球构造遭受的收集进击得逞事宜增添了57.5%,而2016年同期,收集进击得逞事宜比一般程度增添20.5%。

恰是在这类配景下,美国邮政效劳网站上一个长达一年的破绽被暴光,进击者能够经由历程这个破绽查询6000万企业用户的账户信息,包孕电子邮件地点、账号、街道地点、邮件运动数据和电话号码。在某些状况下,进击者以至能够修正帐户的详细信息。

早在一年前,就有一位匿名的平安研究员发明并申报了这个题目,但直到Brian Krebs上周向美国邮政总局(USPS)申报后,题目才得到处置惩罚。它源于该效劳的关照可见性特征中,API的一个身份考证缺点,此项API能为广告公司或是须要大批群发邮件的构造供应邮件的近及时跟踪数据。

API破绽意味着,这个基于浏览器的对象还许可任何人登录USPS.com修正其“通配符”搜刮参数,而无需任何特别身份考证。因而,任何人都能够要求给定数据集的一切纪录,而无需搜刮特定术语。

这能够会为让大批客户的信息遭到走漏,从而被用于很多(但异常有针对性)的收集垂纶或社会运动中去,只管美国邮政局透露表现,以后并没有证据注解该破绽被运用了,但其也没有申明为何一年前没有处置惩罚这个题目。

美国邮政局在一份电子邮件增补说,

计算机收集赓续遭到试图运用破绽不法猎取信息的立功分子的进击。与其他公司一样,邮政的信息平安设计和搜检效劳接纳的都是行业的最佳实践,经由历程对收集的赓续监控以发明可疑运动。

WhiteHat Security卖力计谋和营业开辟的副总裁Setu Kulkarni指出,在互联网级别的B2B衔接方面,api是一把双刃剑。api在不平安的状况下,会损坏其之前竖立的超等衔接。

Kulkarni透露表现:

漏洞扫描

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.

为了制止相似的缺点,政府机构和公司必须在运用平安方面接纳自动步伐,而不仅仅是在破绽发明后才被迫处置惩罚。每一家处置惩罚消费者数据的企业都须要让信息平安成为首要任务,并有责任对易受进击的渠道(api、收集衔接、挪动运用程序、网站和数据库)举行最严厉的平安测试。依靠数字平台的构造须要教诲和受权开辟人员在全部软件生命周期(SLC)中运用平安最佳实践编写代码,并供应恰当的平安培训和认证。

但是,即便是互联网巨子之一的亚马逊在这方面也会犯错误。亚马逊于上周关照客户,他们的电子邮件地点能够被无意中走漏,异样也是API致使的题目。至于一些详细的细节,好比受影响的客户数目,亚马逊透露表现,其效劳器没有遭到进击,也没有走漏任何其他个人信息。只管云云,一些研究人员照样诘问诘责该公司对这起事宜负有责任。

Lastline要挟谍报总监Andy Norton指出,经由历程亚马逊发给客户的关照,能够发明一两个细节:

亚马逊发送给客户的‘走漏’声明指出,若是客户的名字和电子邮件被无意中走漏给了未知方,受影响的用户不须要接纳任何行动。亚马逊发起用户在翻开邮件时分外警惕和郑重,并强调被垂纶的风险

API:一个轻易被盯上的立功目的

API关于要挟行动者来说是一个有吸收力的进击目的,由于它们充任衔接分歧效劳的粘合剂——它们许可数据从一个地区自在的流到另一个地区,富的信息头绪。

Cequence首席实行官Larry Link透露表现:

API正成为愈来愈有吸收力的进击目的,包孕歹意的机器人进击,由于API能够在客户扩大的数字生态系统中供应对其他运用程序和数据的接见。主要的是企业怎样确保他们有恰当的平安对象来实行珍爱。从进击者的角度来看,地舆分布式机器人进击绝对轻易设计和实行,这就是为何歹意机器人逐步成为每一个运用web、挪动和API运用程序举行营业流程和客户介入的构造所面对的新的头号进击要挟。

但是,只管API吸收了收集立功分子的注重,并供应了云云症结的功用,但正如USPS和Amazon题目所展现的那样,在触及数据平安时,它们常常会被无视。但是,跟着隐私划定变得愈来愈广泛,这类状况能够会转变。

Synopsys高等手艺专员Tim Mackey透露表现:

在一切开辟和推销团队中,明白传输给API的数据,和考证返回数据的完整性的要领,应当成为检察历程的一部分。有了这些信息,API运用者就能够看管与API运用相干的任何平安表露。当您以为美国参议院商务委员会正在听取与CCPA和GDPR相似的国度数据珍爱法的简报时,构造应当将跟踪API依靠干系视为削减与潜伏数据走漏相干风险的中心战略。

本文翻译自:https://threatpost.com/usps-amazon-data-leaks-showcase-api-weaknesses/139362/如若转载,请说明原文地点: http://www.4hou.com/info/news/14761.html

黑客网站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明美国邮政局、亚马逊公司因API缺点致使大批客户数据袒露
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址