Dell API 遭滥用 逾4900万客户记录被攻陷

戴尔公司目前正在发送通知，提醒客户数据已被盗。被盗数据包括客户订单数据如保证信息、服务标记、客户姓名、安装位置、客户号码和订单号码等。4月28日，名为 Menelik 的威胁行动者在 Breached 黑客论坛上出售这些数据，不过版主不久即下架该帖子。

Menelik 表示，发现为合作伙伴、分销商零售商准备的以及可用于查看订单信息的门户，之后窃取了数据。他指出他可以使用虚假的公司名称通过注册多个账号访问该门户，并且在未经验证的情况下两天内进行了访问。他指出，“注册成为合作伙伴非常容易，只需要填写一份申请表即可。填入公司详情、想成为合作伙伴的原因，之后就会获批并能够访问该授权门户。我就是通过这种方法创建的账号。整个流程要花费24到48个小时不等。”

Menelik 表示获得对门户的访问权限后，创建了可生成7位数字服务标记的程序，并从3月开始提交到门户页面来抓取返回的信息。据称该门户不包括任何速度限制，因此威胁行动者声称三周时间内每分钟生成5000个请求，收割了4900万份客户记录，而戴尔并未给出任何拦截措施。

Menelik 表示，被盗的客户记录包括如下硬件部分：

威胁行动者表示，他们在4月12日和14日像戴尔发送邮件并将漏洞报送给安全团队，与 BleepingComputer 分享了邮件。然而，威胁行动者承认在联系公司之前收割了4900万份记录。

威胁行动者表示，戴尔从未回应这些邮件且在两周之后才修复该漏洞，与Breach 黑客论坛上出售该数据的时间差不多。戴尔证实称已收到邮件但并未回复其它问题，因为此事件正在接受执法部门的调查。然而，该公司声称在收到威胁行动者的邮件之前已经检测到该活动。

戴尔表示，“我们需要记住，该威胁行动者是一名犯罪分子，我们已紧固通知执法部门。我们不会透露任何可能导致我们正在进行的调查或执法部门开展的任何调查的完整性受到攻陷的信息。在收到威胁行动者邮件之前，戴尔已经发现并调查该事件，我们执行了响应程序并采取抑制措施。我们还聘请一家第三方取证公司协助调查。”

TechCrunch 媒体率先报道称 Menelik 滥用该 API 搜刮戴尔的客户信息。

越来越多的API被滥用于攻陷数据

近年来，易于访问的API已成为企业的一个巨大弱点，威胁行动者们利用它们搜刮敏感数据并出售给其它威胁行动者。

2021年，威胁行动者滥用 Facebook API 中的一个缺陷将电话号码连接到5亿多哥账号。黑客论坛上几乎免费提供这些数据，仅需一个账户和2美元即可下载。2021年12月，威胁行动者们利用了 Twitter API的一个缺陷将数百万哥电话号码和邮件地址与推特账号关联，之后将其在黑客论坛上出售。最近，Trello API 去年的一个漏洞被滥用于关联邮件地址与1500万个账号，且之后也被在黑客论坛上出售。该数据最后收录到 Have I Been Pwned 网站，用于通知信息已遭暴露的人员。

虽然这些事件中都涉及数据搜刮，但由于API易于访问，且对于同一个主机中每秒可发出的请求数量缺乏适当的速率限制，因此数据搜刮是可以实现的。