近期收到多家DK平台反馈,APP内用户信息数据泄露,导致海外香港电话推广频繁骚扰,部分用户甚至被网络诈骗。而且用户当天申请的表格里的手机号很快就泄露了,然后香港的电话就会打过来问用户是否需要借钱。在得知这一紧急情况后,该客户一直在Tik Tok做推广,并遭受了巨大的损失。我们需要尽快找出用户手机号被泄露的原因,防止用户的信息和数据被泄露。我们马上成立了安全应急小组,与客户的平台运维技术对接,梳理了服务器信息、H5登陆页面、API接口信息、APP、CRM后台系统。
我们详细梳理了数据库相关的服务器和项目,发现客户使用了三个阿里云服务器和RDS数据库实例,一个用于APP和H5 API接口,一个用于CRM机构账户系统,一个用于后台管理系统。我们的SINE安全技术对服务器的日志和API接口的nginx网站访问日志做了详细的安全分析。安排技术人员对H5登陆页面进行全面的人工安全渗透测试,填写表单信息功能,下载客户APP。在提交的包含手机号的函数API接口中,发现返回的数据包中存在用户信息泄露,如下图所示:
API接口POST请求包中的uid随着返回包的数据泄露,APP每天注册用户数达到2W以上,相当于每天泄露2万多条用户信息,包括姓名、身份证号、手机号、社保、房产资产等。这个漏洞的严重性太大了,给平台运营方带来了巨大的损失。经过我们在SINE Security与客户的详细沟通和了解,这个程序的源代码最初是由第三方公司开发设计的,二次开发是由一个后期规模增大后才招聘的JAVA程序员进行的。很多接口代码函数都是摸索前进的,所以有些接口函数会导致数据泄露漏洞,这使得JAVA程序员无法详细定位漏洞的根源。毕竟最初开发程序的是第三方公司,而不是JAVA程序员本人。
我们的SINE安全工程师继续对其他系统和服务器进行详细的渗透测试,后端服务器存在安全问题。因为APP里的管理员实在太多了,难免有些管理员设置了简单的密码。后台发现部分管理员账号存在弱密码漏洞。通过登录这个管理员账户,我们在后台设置发现短信界面的key和key。由于后台系统中用户手机号的信息被脱敏加密,我们的SINE安全技术立即对第三方短信通道的key和KEY进行了渗透测试,发现第三方短信的API接口存在漏洞。我们可以绕过白名单IP,直接使用key和key请求短信接口,通过返回的数据包获取发送短信的手机号码列表。如下图所示:
随着客户的APP达到一定规模,受到黑客攻击的情况会越来越多。很多客户在业务快速发展的同时忽略了APP安全的问题,都认为自己的技术人员可以解决信息泄露的问题。其实不是这样的,因为开发者只负责开发和实现业务功能,并不知道这个功能可能存在漏洞。发展就是发展,安全就是安全。两者不是一回事,术业有专攻。一定要找专业的网站漏洞修复服务商解决数据泄露问题,查日志,审计源代码漏洞,进行整体的安全加固和防护。
鉴于部分客户使用rds阿里云数据库,且数据库访问没有IP白名单限制,黑客可以利用阿里云的key和key获取RDS数据库连接信息,从而导致数据库数据被窃取。数据库表中的信息也会被窃取,黑客会在每天的固定时间自动提取用户的手机号码和姓名,并将数据转卖给第三方。第三方利用香港电话进行骚扰推广和网络诈骗。为此我们在SINE Security建议,如果你遇到了用户数据泄露症状的问题,一定要找有实际安全防护经验的网站安全公司来解决这个问题。只有APP安全稳定,客户信息不泄露,你才会源源不断的获得更多用户,共赢。客户对这一敏感信息泄漏漏洞的调查和修复感到满意。并签订了长期渗透测试和APP安全维护服务。随着新系统上线、新功能增加、代码修改,第一时间进行人工安全测试,检测是否存在漏洞和信息泄露问题,提前做好安全防护,可以将绝大多数黑客攻击扼杀在萌芽状态。
