【API新闻】Facebook5.3亿用户数据库泄露？如何保证API安全？

数据泄漏：Facebook

最近最大的数据泄漏新闻是拥有5.3亿Facebook用户的庞大数据库。Facebook已就此事件发表了正式声明，对此表示轻描淡写，因为早在2019年就已经使用Facebook的API“抓取”了数据，而不是通过某种数据库访问或其他“直接”攻击获得的数据。
攻击者利用的漏洞位于Facebook创建的API中，该API用于通过手机中的联系人来发现朋友。Facebook希望使用户能够更轻松地在社交网络上找到他们的朋友，因此Facebook应用程序使用API将联系人从用户的手机上传到Facebook，并获取与上传的电话号码匹配的用户的个人资料。
听起来不错，而且对用户友好，但是经常发生的事情是，使事情变得简单也可能使它们的安全性降低。攻击者通过生成巨大的“电话簿”并将其提交给API来利用此功能。毕竟，电话号码只是遵循一定语法的数字序列：国家/地区代码，区号和一个七位数字。因此，遍历它们并不困难。
这样就可以抓取用户数据库并收集庞大的个人详细信息数据集，这绝对是不应该发生的，而且应该已经预见到。毕竟，攻击者是一个非常足智多谋的人。现在，随着抓取的数据集的发布，关于5.3亿用户（包括马克·扎克伯格本人）的姓名，Facebook ID，电话号码和电子邮件地址的信息已进入公共领域。

让我们尝试总结一下影响：

• Facebook的立场是，如果使用API来收集数据，那不是黑客。API只是恶意行为者使用的另一种攻击媒介——实际上是当今主要的攻击媒介之一。
• 即使某些数据是公共的（如名称），这种公共信息的大型数据集再加上其他详细信息，仍可用于各种网络钓鱼和诈骗。关于其他数据集的报告也包括用户的页面点赞。这极大地加剧了这种情况：诈骗者可以随时使用的细节越多，骗局就越有说服力。
• 无论用户的隐私设置如何，电话号码匹配均有效。即使将电话号码设置为不共享，或者即使仅用于多因素身份验证，API仍会公开该电话号码的用户个人资料。这严重侵犯了用户的隐私和信任。
• 报告表明，Facebook多年来一直在收到有关该漏洞的报告，然后在2019年最终修复该漏洞。
• 不管怎么看，Facebook在这里都绝对不是做得好的。

从这个不好的案例中得到的教训是：

• API越来越容易受到攻击，如果忽略API安全，一旦公共信息作为大型数据集可用，很容易出现漏洞，甚至危害社会秩序。毕竟在网络时代，信息就是力量，不应让它因疏忽而落入错误的人之手。
• API不应该让您对更多的数据进行访问，通过用户界面共享。
• 不仅要始终限制API的调用速率，还要限制它们可以返回的数据量。
• API在设计阶段就要有安全意识，仅在漏洞被利用后再进行修复可能会造成灾难性的后果。
• 保持API监控，自动警报并及时阅读漏洞报告是很好的附加缓解措施。

保护API：Eolinker微服务网关
这里推荐的是国内团队Eolinker自主研发的API网关，是目前国内市场最流行的API微服务网关。不仅单个节点的性能比国外流行的Kong网关高约10%，而且还拥有完全的自主知识产权，适合对API安全性有要求的企业使用。

可以在Github上搜索我们的开源版，也可通过官网免费申请和使用：www.eolinker.com