T-Mobile 数据泄露：API 安全的警钟

关键要点

• T-Mobile 本月披露了一起新的数据泄露事件，3700 万名客户的个人信息被盗。
• 最近的 API 安全事件提醒我们，保护 API 免受攻击的重要性日益增加。
• 自动化攻击和恶意机器人在滥用 API 方面发挥了重要作用。
• 企业需要重新评估其网络安全措施，以防御不断演化的威胁。

T-Mobile 本月透露，3700 万名当前后付费和预付费客户的个人信息通过其某一应用程序接口（API）被恶意攻击者盗取。这一事件再次强调了 API安全的重要性，因为它跟随了其他类似事件，例如 Optus 被盗的数据为 980 万条和 Twitter 上暴露的 540 万用户记录。每当发生如此大规模的
API 安全泄露时，讨论常常集中在哪些 API 漏洞或令牌被泄露。然而，我们很少探讨自动化在这些攻击中的作用。

API 的使用呈指数级增长，彻底改变了在线应用程序的构建方式。这些 API 已从系统集成工具演变为连接和共享世界应用程序的主要方法。不幸的是，正如
Gartner 预测的那样，API 已成为攻击的主要向量。API 可以分为公开和私有两种。公开 API 允许用户连接到公司服务，例如 Google地图，而私有 API 则由创建这些接口的组织使用，以集成特定数据和应用功能或与可信合作伙伴共享信息。因此，私有 API 成为攻击者的主要目标。

API 安全漏洞：我们错在哪里？

API 成为攻击主要途径的原因有几个：

首先，随着云服务、微服务和移动应用市场的扩大，API 的开发在过去几年中快速增长。公司们以几乎无法跟上的速度不断开发
API，更难以确保其安全。其次，许多组织甚至不知道自己有多少个 API。根据一项针对 600 名网络安全专业人士的最新调查显示，74%
的受访者承认他们没有完整的 API 清单，或者不知道哪些 API 中包含敏感数据。

最后，很多公司没有意识到恶意自动化或机器人攻击在滥用 API 中扮演的重要角色。攻击者利用机器人来利用 API 漏洞，从而大规模访问用户账户并提取信息。

使用机器人“入侵”并访问用户账户

网络犯罪分子使用恶意机器人系统地进行 ，以滥用账户登录。机器人移动迅速。通过数十万的代理 IP 地址和被盗凭证，攻击者可以迅速绘制出
API，识别易受攻击的目标，并自动化登录以获取访问权限。

使用机器人“提取”并获取数据

机器人同样被用于从账户中提取数据。它们可以快速且大规模地进行提取，从而产生利润。例如，在 中，攻击者在被发现之前窃取了 3700万账户的数据。利用自动化可能是实现如此大量记录提取的唯一途径。

保护 API 的必要元素众多。消除对易受攻击 API 的自动化能力是减少攻击和损害的重大步骤。这显示出现代机器人防御在确保 API安全方面已变得至关重要，同时也需配合其他工具。

重新评估公司的网络安全架构

许多公司错误地认为他们当前的 API 安全架构（可能包括 WAF 和 API 网关）可以完全保护他们的
API。虽然这些工具可能在防止某些攻击方面取得成功，但它们通常在防止 API 泄露方面显得不足，因为它们是为其他目的开发的，无法阻止恶意自动化。

在 Forrester 最近的报告 中，他们建议首席信息安全官（CISO）重新评估其当前的网络安全架构。随着威胁行为者不断演化其攻击方法，公司同样需要演变其防御措施。同时，彻底消除那些不再有效的工具也至关重要。API安全和机器人管理是 Forrester 建议