2023年初,据安全组织披露,有近20家知名品牌车企存在API安全漏洞,黑客能远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息,造成大量客户数据泄露;同月,T-Mobile公开承认,黑客利用一个API漏洞窃取了3700万客户的数据。
2024年1月,《检察日报》报道,有黑客利用API接口漏洞,对全国21个省市、29个行业的51个系统发动网络攻击,非法获取大量公民个人信息进行贩卖,获利500余万。经查,王某等人通过网络渠道委托黑客,利用搜集到的各种政府、企业网络平台的API接口漏洞,进行数据抓包、参数解析,开发出100余款黑客软件。
根据奇安信集团近日发布的《2023中国政企机构数据安全风险分析报告》(以下简称《报告》)指出:API安全是数据安全的重要一环,也是最容易被忽视的薄弱环节,已经成为黑客入侵系统和窃取数据的重要渠道。
在对128家大型政企机构的抽样分析发现,平均每家机构约有206个API接口会用来传输敏感数据,约占API接口总数的2.5%。其中,汽车制造业的“潜在”数据安全风险最大,其传输敏感数据的API接口数平均超过900个,传输敏感字段多达332个,这两项指标均是其他行业的3~7倍。
同时,汽车制造业API接口传输的个人信息也最多,平均每天涉及1.5万多个自然人,是金融、能源、医疗等行业的30~70倍,可谓“遥遥领先”。《报告》指出:从某种程度上来看,一辆智能网联汽车,就是一个移动的敏感数据发生源,持续不断的通过各种API接口,向服务器传输敏感数据。不仅如此,这些数据还会一刻不停地在各种车联网业务系统中周转和使用。这也使得汽车制造业以及智能网联汽车,都成为了数据安全的高风险地带。
本次报告还对数据跨境合规问题展开研究,《报告》针对通信、制造业、能源、民生等行业的90个系统进行跨境数据合规检测分析。在累计196天的跨境数据检测中,共发现个人一般信息99.8GB,占比66.7%;敏感个人信息5.5GB,占比3.7%;重要数据(根据各行业分类分级管理办法确认)44.4GB,占比29.6%。
在跨境传输的敏感个人信息中,姓名、手机号、车架号、电子邮件地址、家庭住址、身份证号等敏感关键字段出现最为频繁。
对于上述检测结果,绝大多数接受检测的机构都表示:在检测之前,其实并不知道自身是否存在跨境数据传输问题,也不知道哪些系统、哪些API接口可能在进行跨境数据传输,更不知道哪些数据在被跨境传输。
调查显示,尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作,但仍普遍缺乏科学的、整体的数据安全规划,特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言,往往没有意识到其可能存在的跨境数据流转风险。
奇安信数据安全专家建议,数据安全建设应当遵循内生安全原则,从设计规划之初就把数据分类分级、数据防泄露、防勒索、API安全、跨境数据治理等关键问题列入整体规划,确保数据安全工作与数字化建设同步规划、同步建设、同步运行,用系统性的方法解决数字系统的安全问题。
《2023中国政企机构数据安全风险分析报告》是由奇安信数据安全事业部,联合网络安全威胁情报生态联盟、奇安信威胁情报中心、天际友盟、《安全内参》等机构联合发布。内容涵盖全球数据安全形势、国内机构数据泄露形势、数据安全运营风险等多个方面。
原文始发于微信公众号(奇安信集团):汽车制造业成API风险高地,智能网联车数据安全亟待加强
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论