单位敏感数据泄露,罪魁祸首竟然是食堂管理系统

admin 2024年8月13日21:34:28评论114 views字数 789阅读2分37秒阅读模式

近日,在为某国企单位进行网络安全保障期间,盛邦安全RayAPI产品监测到智慧食堂管理系统信息查询接口存在未鉴权风险,可导致大量敏感信息泄露,包括账号信息、身份照片及系统运行日志等,随后,安全研究人员对该风险进行了详细的验证。




验证步骤




1、RayAPI发现智慧食堂管理系统信息查询接口存在未鉴权风险。


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统
单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


2、关联攻击检测策略进行分析,发现针对该接口存在漏洞利用攻击尝试。


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


3、查看接口返回信息,发现存在手机号、身份证信息等敏感数据泄露事件。


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


4、对接口敏感信息进行检测分析,发现除个人隐私信息外,还涉及大量账号信息,其中包括各类摄像头、售卖机和消费机等终端的管理IP及账号口令。


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


5、进行主动验证测试,发现通过该接口可以直接批量获取敏感信息。




我们的建议




近年来,随着企业信息化、数字化的转型与升级,智慧园区建设当中也不断引入各类新型系统来打通管理流程,例如智慧食堂管理系统,此类系统往往涉及大量员工个人信息,并与其他企业管理系统通过API接口互通,同时又容易被安全运维人员所忽视。对此,我们从系统建设与安全治理两方面给出如下建议:


1、系统建设层面


(1)加强API接口权限控制,尤其针对涉敏类接口,除必要的认证手段之外,还应设定合理的访问频率限制,防止接口被恶意爬取;

(2)加强敏感数据管控措施,尤其针对个人隐私信息,一方面需建立必要的加密传输手段,另一方面需减少非必要的数据内容传输,防止数据过度暴露。


2、安全治理层面


(1)做好接口暴露风险检测。以RayAPI为例,通过对接口类型、调用内容与访问轨迹等条件的关联检测,识别敏感接口的误暴露风险情况;


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


(2)做好接口异常行为检测。以RayAPI为例,通过对接口访问频次、数据调用规模的趋势分析,识别可能存在的接口攻击行为,并配合安全基线要求设定访问控制策略。


单位敏感数据泄露,罪魁祸首竟然是食堂管理系统


原文始发于微信公众号(盛邦安全WebRAY):单位敏感数据泄露,罪魁祸首竟然是食堂管理系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月13日21:34:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   单位敏感数据泄露,罪魁祸首竟然是食堂管理系统https://cn-sec.com/archives/3064183.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息