近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们小蚁安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理
我们对关联到数据库的服务器以及项目进行了详细梳理,发现客户共使用了3台阿里云服务器以及RDS数据库实例,其中一台为APP和H5 API接口使用,另一台用于CRM机构账户的系统,还有一台是用于后台管理系统,我们小蚁安全技术对服务器的日志,以及API接口的nginx网站访问日志进行了详细安全分析,并安排了技术人员对H5落地页,填写表单信息功能,以及下载客户的APP,进行了全面的人工安全渗透测试,在提交包含手机号的功能API接口里,发现存在返回数据包中存在用户信息泄露,如下图所示:
该API接口的POST请求包里的的uid,存在返回数据包数据泄露,而且该APP每天用户的注册量达到2W多,也就是相当于每天泄露两万多的用户信息,包含姓名以及身份证号,手机号,社保,房地产资产情况,这个漏洞的严重性实在是太大了,给平台运营者带来了巨大的损失,我们小蚁安全跟客户详细沟通和了解后,这个程序源代码,原先最早是找的第三方公司去开发设计的,后期上规模后才招聘的JAVA程序员进行的二次开发,很多接口上的代码功能都是在摸索前进,所以有些接口的功能,就会出现数据泄露漏洞,导致该JAVA程序员没法去详细定位漏洞根源,毕竟最初开发程序的是第三方公司并不是JAVA程序员自己一手开发。我们小蚁安全工程师继续对其他系统和服务器进行详细渗透测试,后台服务器也存在安全问题,由于APP的管理员非常多,难免有些管理员设置的密码较为简单,在后台这里发现某些管理员账户存在弱口令漏洞,通过登录该管理员账户,我们在后台设置发现短信接口的key和密钥,由于后台系统里的用户手机号这些信息都是脱敏加密的,我们小蚁安全技术随即对第三方短信通道的key和密钥进行渗透测试,发现该第三方短信API接口存在漏洞,可以绕过白名单IP,直接使用KEY和密钥来请求短信接口,通过返回的数据包,来获得发送短信的手机号列表。如下图所示:
由于客户APP上到一定规模后,受到黑客的攻击会越来越多,许多客户在业务快速发展的同时,从而疏忽了APP安全上的问题,都觉得自己的技术人员能够解决信息泄露的漏洞问题,事实上不是这样,因为开发人员只是负责开发实现业务功能,并不知道该功能可能会存在漏洞,开发是开发,安全是安全,两者不是一回事,术业有专攻,一定要找专业的网站漏洞修复服务商来解决数据泄露的问题,排查日志和审计源代码漏洞,并进行整体的安全加固与防护,鉴于有些客户使用的事RDS阿里云数据库,而且并没有对数据库的访问进行IP白名单限制,导致黑客可以使用阿里云的密钥和key来获取rds的数据库连接信息,会造成数据库数据被盗取,数据库表里的信息也都会被窃取,而且黑客每天都会在固定时间,去自动提取用户的手机号和姓名,并将数据倒卖给第三方,第三方用香港电话进行骚扰推广以及网络诈骗,对此我们小蚁安全建议大家,如果遇到这种用户数据泄露症状的问题,一定要找有实战安全防护经验的网站安全公司来解决此问题,只有APP安全稳定了,客户信息不被泄露了,才会源源不断的获取更多的用户,才会共赢,客户对此次的敏感信息泄露漏洞排查与修复感到满意,并签订了长期的渗透测试与APP安全维护服务,有新系统上线以及新功能增加与代码修改,我们对会第一时间进行人工安全检测,检测是否存在漏洞以及信息泄露的问题,提前做好安全防护,可将绝大多数的黑客攻击扼杀在襁褓之中。