近期我们接到许多DK平台反馈APP里的用户信息数据被泄露，导致用户经常受到境外香港电话推广骚扰，有些用户甚至被网络诈骗，而且用户当天申请填写表单里的手机号，没过多久就泄露了，紧接着香港电话就会打过来，询问用户是否需要借款的需求，了解到这个紧急情况后，由于客户一直在做抖音、快手、百度的推广，损失较大，需要尽快排查出用户手机号被泄露的原因，防止用户信息以及数据继续被泄露，我们小蚁安全随即成立了安全应急响应小组，跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理

我们对关联到数据库的服务器以及项目进行了详细梳理，发现客户共使用了3台阿里云服务器以及RDS数据库实例，其中一台为APP和H5 API接口使用，另一台用于CRM机构账户的系统，还有一台是用于后台管理系统，我们小蚁安全技术对服务器的日志，以及API接口的nginx网站访问日志进行了详细安全分析，并安排了技术人员对H5落地页，填写表单信息功能，以及下载客户的APP，进行了全面的人工安全渗透测试，在提交包含手机号的功能API接口里，发现存在返回数据包中存在用户信息泄露，如下图所示：

该API接口的POST请求包里的的uid，存在返回数据包数据泄露，而且该APP每天用户的注册量达到2W多，也就是相当于每天泄露两万多的用户信息，包含姓名以及身份证号，手机号，社保，房地产资产情况，这个漏洞的严重性实在是太大了，给平台运营者带来了巨大的损失，我们小蚁安全跟客户详细沟通和了解后，这个程序源代码，原先最早是找的第三方公司去开发设计的，后期上规模后才招聘的JAVA程序员进行的二次开发，很多接口上的代码功能都是在摸索前进，所以有些接口的功能，就会出现数据泄露漏洞，导致该JAVA程序员没法去详细定位漏洞根源，毕竟最初开发程序的是第三方公司并不是JAVA程序员自己一手开发。我们小蚁安全工程师继续对其他系统和服务器进行详细渗透测试，后台服务器也存在安全问题，由于APP的管理员非常多，难免有些管理员设置的密码较为简单，在后台这里发现某些管理员账户存在弱口令漏洞，通过登录该管理员账户，我们在后台设置发现短信接口的key和密钥，由于后台系统里的用户手机号这些信息都是脱敏加密的，我们小蚁安全技术随即对第三方短信通道的key和密钥进行渗透测试，发现该第三方短信API接口存在漏洞，可以绕过白名单IP，直接使用KEY和密钥来请求短信接口，通过返回的数据包，来获得发送短信的手机号列表。如下图所示：

由于客户APP上到一定规模后，受到黑客的攻击会越来越多，许多客户在业务快速发展的同时，从而疏忽了APP安全上的问题，都觉得自己的技术人员能够解决信息泄露的漏洞问题，事实上不是这样，因为开发人员只是负责开发实现业务功能，并不知道该功能可能会存在漏洞，开发是开发，安全是安全，两者不是一回事，术业有专攻，一定要找专业的网站漏洞修复服务商来解决数据泄露的问题，排查日志和审计源代码漏洞，并进行整体的安全加固与防护，鉴于有些客户使用的事RDS阿里云数据库，而且并没有对数据库的访问进行IP白名单限制，导致黑客可以使用阿里云的密钥和key来获取rds的数据库连接信息，会造成数据库数据被盗取，数据库表里的信息也都会被窃取，而且黑客每天都会在固定时间，去自动提取用户的手机号和姓名，并将数据倒卖给第三方，第三方用香港电话进行骚扰推广以及网络诈骗，对此我们小蚁安全建议大家，如果遇到这种用户数据泄露症状的问题，一定要找有实战安全防护经验的网站安全公司来解决此问题，只有APP安全稳定了，客户信息不被泄露了，才会源源不断的获取更多的用户，才会共赢，客户对此次的敏感信息泄露漏洞排查与修复感到满意，并签订了长期的渗透测试与APP安全维护服务，有新系统上线以及新功能增加与代码修改，我们对会第一时间进行人工安全检测，检测是否存在漏洞以及信息泄露的问题，提前做好安全防护，可将绝大多数的黑客攻击扼杀在襁褓之中。