永安在线：2022年Q3API安全研究报告（17页）.pdf

1、目录前言.3一、2022 年 Q3API 整体风险态势.41.API 遭受攻击数量每月超 15 万，营销作弊场景占比最高.42.金融和政务平台是黑产攻击 API 并窃取数据的重要目标.53.游戏行业面临严峻的账号风险问题，全网攻击规模过亿.6二、2022 年 Q3 四大 API 安全缺陷分析.71.未授权访问.82.错误提示不合理.93.脱敏不规范.104.允许弱密码.11三、2022 年 Q3API 攻击案例分析.121.游戏平台遭遇专业黑产团伙盗号攻击.122.银行在线业务 API 存在缺陷，遭黑产利用爬取数据.143.数字藏品平台遭受攻击，多个用户数字资产不翼而飞.15四、结语.17前言

2、随着数字化以及互联网技术的快速发展，API 作为应用连接、数据传输的重要通道，需求量正大幅增加。然而，API 应用的增速与其安全发展的不平衡，使其成为企业业务和数据风险的最大敞口。永安在线长期致力于 API 安全的研究，其在 2022 年 Q2 季度的 API 安全研究报告中提到，围绕 API 的攻击持续高发，因 API 安全防护不足而被攻击的事件多不胜数。最新一季报告数据显示，2022 年 Q3 季度 API 整体风险依旧不容轻视：1.Q3 被攻击的 API 数量相比 Q2 有所下降，但每月被攻击的 API 数量仍超过 15 万，涉及游戏、金融、政务、电商、数字藏品等多个行业。2.Q3API

3、 攻击场景与 Q1 和 Q2 类似，营销作弊场景占比最高，其次是账号风险和数据窃取。3.Q3 仍存在大量平台因 API 安全防护不到位而遭受攻击并被窃取数据的事件，如，多家银行在线信用卡业务 API 因存在安全缺陷遭受攻击，大量用户业务办理信息被爬取；游戏平台遭受专业黑产团伙盗号，黑产通过 API 资产探测、扫号、撞库等攻击手法成功盗取大量游戏玩家账号等。面对越来越多的 API 攻击以及由此导致的数据泄露风险，企事业单位 API 安全防护绝不能掉以轻心。除了已有的防御体系外，企业需要针对性地构建 API 安全防护体系，基于风险情报及早感知及时防御。永安在线API 安全研究报告基于永安在线全网布

4、控及风险感知技术捕获到的 API 攻击风险，由情报专家分析并提取 API 安全情报和风险态势，并结合案例给出相应的防御建议。该系列报告目前已发布两期：永安在线 API 安全研究报告（2022 年 Q1）永安在线 API 安全研究报告（2022 年 Q2）一、2022 年 Q3API 整体风险态势1.API 遭受攻击数量每月超 15 万，营销作弊场景占比最高从永安在线 Karma 情报平台捕获到的遭受攻击的 API 数量来看，2022 年 Q3（7-9 月）遭受攻击的数量相比 Q2 有所下降，但均超过 15 万/月，其中 8 月超过 20 万。从攻击场景分布来看，与 Q1、Q2 类似，营销作弊场

5、景占比依旧最高，其次是账号风险、数据窃取，数字藏品依然是营销作弊的热点攻击对象。2.金融和政务平台是黑产攻击 API 并窃取数据的重要目标永安在线情报研究团队通过对 Q3API 攻击流量进一步分析，发现有多个金融和政务平台在Q3 遭受大规模攻击，黑产通过金融或政务平台有安全缺陷的 API，非法爬取大量涉及公民隐私、金融业务办理等敏感数据。金融平台的用户数据，如用户的办理业务、办理时间等，无论是出售给中介“精准”揽客，还是出售给犯罪分子实施诈骗，都可以获取到高额的利益。政务平台的 API 接口则承载了全国各地海量的公民个人隐私数据，如身份证、住址、医保社保等，也是黑产疯狂攻击的对象。金融用户数据

6、和公民个人隐私数据因获利价值高，一直是暗网、TG 群数据交易的“抢手货”，一旦泄漏，将给广大民众的财产甚至人身安全造成严重的威胁，平台也会因安全防护不到位遭受相关法律法规的处罚。3.游戏行业面临严峻的账号风险问题，全网攻击规模过亿永安在线情报研究团队通过对 Q3API 攻击流量进一步分析，在针对平台注册/登录/找回密码等 API 接口的攻击流量中，存在大量针对游戏、社交等平台的扫号、撞库、暴破攻击，其中游戏行业遭受的攻击最为严重，占比超过 50%。某些热门游戏，仅永安在线蜜罐捕获的攻击流量就达到数千万，预计全网攻击规模过亿，这些攻击将给游戏玩家的账号安全带来巨大的风险。（更多详情可查看第三章关