APP資料洩露該怎麼去排查和溯源

近期我們接到許多DK平臺反饋APP裡的使用者資訊資料被洩露，導致使用者經常受到境外香港電話推廣騷擾，有些使用者甚至被網路詐騙，而且使用者當天申請填寫表單裡的手機號，沒過多久就洩露了，緊接著香港電話就會打過來，詢問使用者是否需要借款的需求，瞭解到這個緊急情況後，由於客戶一直在做抖音、快手、百度的推廣，損失較大，需要儘快排查出使用者手機號被洩露的原因，防止使用者資訊以及資料繼續被洩露，我們SINE安全隨即成立了安全應急響應小組，跟客戶的平臺運維技術對接了伺服器資訊以及H5落地頁、API介面資訊和APP以及CRM後臺系統的大體情況的整理。

我們對關聯到資料庫的伺服器以及專案進行了詳細梳理，發現客戶共使用了3臺阿里雲伺服器以及RDS資料庫例項，其中一臺為APP和H5 API介面使用，另一臺用於CRM機構賬戶的系統，還有一臺是用於後臺管理系統，我們SINE安全技術對伺服器的日誌，以及API介面的nginx網站訪問日誌進行了詳細安全分析，並安排了技術人員對H5落地頁，填寫表單資訊功能，以及下載客戶的APP，進行了全面的人工安全滲透測試，在提交包含手機號的功能API介面裡，發現存在返回資料包中存在使用者資訊洩露，如下圖所示：

該API介面的POST請求包裡的的uid，存在返回資料包資料洩露，而且該APP每天使用者的註冊量達到2W多，也就是相當於每天洩露兩萬多的使用者資訊，包含姓名以及身份證號，手機號，社保，房地產資產情況，這個漏洞的嚴重性實在是太大了，給平臺運營者帶來了巨大的損失，我們SINE安全跟客戶詳細溝通和了解後，這個程式原始碼，原先最早是找的第三方公司去開發設計的，後期上規模後才招聘的JAVA程式設計師進行的二次開發，很多介面上的程式碼功能都是在摸索前進，所以有些介面的功能，就會出現資料洩露漏洞，導致該JAVA程式設計師沒法去詳細定位漏洞根源，畢竟最初開發程式的是第三方公司並不是JAVA程式設計師自己一手開發。我們SINE安全工程師繼續對其他系統和伺服器進行詳細滲透測試，後臺伺服器也存在安全問題，由於APP的管理員非常多，難免有些管理員設定的密碼較為簡單，在後臺這裡發現某些管理員賬戶存在弱口令漏洞，透過登入該管理員賬戶，我們在後臺設定發現簡訊介面的key和金鑰，由於後臺系統裡的使用者手機號這些資訊都是脫敏加密的，我們SINE安全技術隨即對第三方簡訊通道的key和金鑰進行滲透測試，發現該第三方簡訊API介面存在漏洞，可以繞過白名單IP，直接使用KEY和金鑰來請求簡訊介面，透過返回的資料包，來獲得傳送簡訊的手機號列表。如下圖所示：

由於客戶APP上到一定規模後，受到駭客的攻擊會越來越多，許多客戶在業務快速發展的同時，從而疏忽了APP安全上的問題，都覺得自己的技術人員能夠解決資訊洩露的漏洞問題，事實上不是這樣，因為開發人員只是負責開發實現業務功能，並不知道該功能可能會存在漏洞，開發是開發，安全是安全，兩者不是一回事，術業有專攻，一定要找專業的網站漏洞修復服務商來解決資料洩露的問題，排查日誌和審計原始碼漏洞，並進行整體的安全加固與防護，鑑於有些客戶使用的事RDS阿里雲資料庫，而且並沒有對資料庫的訪問進行IP白名單限制，導致駭客可以使用阿里雲的金鑰和key來獲取rds的資料庫連線資訊，會造成資料庫資料被盜取，資料庫表裡的資訊也都會被竊取，而且駭客每天都會在固定時間，去自動提取使用者的手機號和姓名，並將資料倒賣給第三方，第三方用香港電話進行騷擾推廣以及網路詐騙，對此我們SINE安全建議大家，如果遇到這種使用者資料洩露症狀的問題，一定要找有實戰安全防護經驗的網站安全公司來解決此問題，只有APP安全穩定了，客戶資訊不被洩露了，才會源源不斷的獲取更多的使用者，才會共贏，客戶對此次的敏感資訊洩露漏洞排查與修復感到滿意，並簽訂了長期的滲透測試與APP安全維護服務，有新系統上線以及新功能增加與程式碼修改，我們對會第一時間進行人工安全檢測，檢測是否存在漏洞以及資訊洩露的問題，提前做好安全防護，可將絕大多數的駭客攻擊扼殺在襁褓之中。