攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。
网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查,发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息,初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度,因该攻击者此前仅发布过两次数据帖,推测可能通过分批次爬取累积至此规模。
此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息,导致欧盟罚款2.65亿欧元。研究人员指出,此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略,尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。
攻击者利用此类大规模数据库可实施自动化攻击,例如向用户精准推送伪装成Facebook登录页面的钓鱼链接,或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调,攻击者通过API接口超量获取数据已成行业顽疾,Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件,其滥用问题亟待技术性与监管层面的双重解决方案。
Meta此前承认使用公开的Facebook与Instagram数据训练AI助手,此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明,爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则,加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。
API安全是数字化时代企业面临的核心挑战之一,涉及保护API免遭数据泄露、未授权访问及恶意攻击。以下从威胁类型、防护措施和最佳实践三个维度进行系统分析:
一、API安全威胁类型
身份认证与授权漏洞
身份伪造:攻击者利用弱认证机制冒充合法用户,如通过盗取API密钥或绕过多因素验证。
越权访问:缺乏细粒度权限控制导致用户访问超出其权限的数据或功能,例如通过篡改请求参数获取敏感信息。
数据泄露与篡改
敏感数据暴露:API设计缺陷可能返回过多数据(如未过滤用户隐私字段),被恶意爬虫或中间人攻击捕获。
注入攻击:包括SQL注入、XSS等,利用未校验的输入参数执行恶意代码。
服务滥用与拒绝攻击
DDoS攻击:针对API接口发起高频请求,导致服务瘫痪。
自动化攻击:通过脚本批量调用API,例如撞库、薅羊毛等黑色产业行为。
二、核心防护策略
多层次访问控制
OAuth 2.0与JWT:通过令牌(Token)实现动态授权,限制API调用范围与有效期。
基于角色的权限管理(RBAC):按业务场景划分角色,例如游戏平台分设玩家、管理员API权限。
数据与通信安全
端到端加密:采用TLS协议保障传输层安全,结合AES加密敏感字段(如身份证号、交易信息)。
输入验证与输出过滤:对参数进行格式校验(如正则表达式),响应数据仅返回必要字段。
威胁监测与响应
WAAP解决方案:集成WAF、Bot流量管理、API行为分析等功能,实时拦截异常请求(如腾讯云案例)。
日志审计:记录完整的API调用链路,结合AI分析异常模式(如高频访问、非工作时间调用)。
三、行业最佳实践
生命周期管理与治理
API资产盘点:通过自动化工具发现“影子API”和“僵尸API”,避免遗留接口暴露风险。
标准化文档:使用Swagger等工具生成接口文档,明确安全要求(如加密算法、调用频率限制)。
技术架构优化
API网关层防护:集中处理认证、限流、熔断等逻辑,如天聚地合通过网关实现毫秒级身份核验响应。
沙箱环境测试:在开发阶段模拟攻击场景(如参数篡改、重放攻击),提前修复漏洞。
四、未来趋势
随着API经济的深化,零信任架构与AI驱动的动态防护将成为主流。例如,网易通过天聚地合的人脸识别API实现动态身份核验,既满足防沉迷合规要求,又提升用户登录效率;同时,标准化API安全协议(如OpenAPI 3.1)的普及将推动跨行业协作与安全基线统一。
如果您有API安全防护需求,需要更详细的解决方案,请联系“三沐数安”
原文始发于微信公众号(三沐数安):黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论