3月19日，南方都市報在其相關文章《微博5億使用者手機號疑在暗網出售！驚動微博高層》（https://mp.weixin.qq.com/s/SrNEhLh3kNg1c_m8vvDWZQ）中，介紹了暗網出現“5.38億微博使用者繫結手機號資料，其中1.72億有賬號基本資訊”交易，以及微博對此事做出“此次洩露的手機號是2019年通過通訊錄上傳介面被暴力匹配的，其餘公開資訊都是網上抓來的，並否認是脫庫”的回應。

該文還引述了一位匿名資深安全人士的觀點：通訊錄匹配可以看做變相的爬蟲行為。新浪微博可能沒有對這個介面做監控和風控，導致個人資訊的洩露。防範此類事情的發生，應該是企業的業務。

從資料洩露到暗網交易，中間少不了黑灰產的支援。眾多安全自媒體的文章，也把大量的筆墨放在了對匿名聊天工具 Telegram ，以及如何從其上的“社工庫”中獲取這批被洩微博資料，並驗證交易的真實存在。但是，作為企業背後提供專業安全能力的網路安全公司，這起突發事件中更值得我們關注的，是如何更有效的幫助客戶，防範 API 介面可能引入的安全威脅，從而保護企業客戶的C 端使用者應享有的權益。

API 三大安全威脅與防護思路

綠盟科技認為，下面三種API 介面的安全風險需要我們予以重視：

1、API 的未授權訪問

API業務邏輯漏洞難以在測試時被發現，業務場景複雜、迭代升級頻繁，API許可權控制較難做到萬無一失，一旦某個介面許可權控制出現問題帶來的後果難以預料。

綠盟科技推薦採用代理API的API閘道器產品，對API進行全生命週期的許可權管理，在API釋出過程中實行審計、序號產生器制，執行中進行監測、異常熔斷，在下線過程中及時登出對應許可權，防止未授權訪問，及時監控API風險。

2、API 引數的非法篡改

API引數的篡改和引數拼接已經成為API攻擊中的一種主流方式，各類試探性攻擊也通常採用此方式發起攻擊，一旦服務端引數校驗存在邏輯漏洞，API引數篡改很容易帶來資料洩露、資訊化資產損失甚至資金風險。

綠盟科技推薦採用支援API 防護的WAF產品，通過對 API 引數進行自學習，建立 API 引數規範，對不符合引數正規化或者偏離值較大的請求進行異常告警。結合動態令牌，對通過篡改和拼接API引數發起的非法請求進行阻斷。

3、介面濫用

有國際調研機構曾指出，2022年，API 濫用將成為最常見的攻擊方式之一。簡訊、電郵等 API 介面被濫用，不僅給服務提供商帶來了經濟損失，同時影響了正常使用者的業務辦理。

綠盟科技推薦採用支援機器人管理的Bot產品，因為這類攻擊往往是機器人流量發起的，才可以實現批量自動化。防護思路上，可以通過人機校驗，有效感知並實時攔截自動化工具發起的批量攻擊請求，對API進行基於使用者行為的多維防護。

綠盟業務安全閘道器係統（BMG）聚焦於業務安全市場，主要用於業務系統的安全防護，補齊傳統 WAF 裝置的能力缺失。在防止自動化工具方面，綠盟業務安全閘道器係統可以通過通過機器人緩解、API 防護等功能，對請求流量進行識別，過濾出自動化工具的請求流量，同時針對關鍵 API 進行監控，防止其請求流量異常，來防止攻擊者通過 API 資源濫 用獲取到隱私資料，保障網站的資料安全和完整性。