Parler的API漏洞

美国最近的政治闹剧也影响到了科技公司，并导致被发现了API漏洞。在特朗普支持者中很受欢迎的类似Twitter的社交网络Parler有70 TB的数据因为不安全的api被窃取。 从各种文章和讨论线索来看，似乎发生了以下情况： 1.Parler正在使用Twilio验证密码重置帐户。 2.Twilio决定停止为Parler服务，账户验证被删除 3.攻击者能够接管Parler的一些管理账户。 4.攻击者使用这些帐户在系统中创建更多管理员。 5.被劫持的和新的管理员帐户被用来访问和抓取用户发布在Parler上的帖子、图片和视频等。 Parler 上帖子的id是连续的，因此攻击者很容易将它们全部枚举出来。图片和视频文件可以原始格式访问，其中包括所有元数据比如位置信息。 不仅如此，即使是被删除的帖子也仍然可以抓取到：当用户删除一篇帖子时，Parler实际上并没有删除内容，只是将其标记为已删除，并将其放在视线之外。 这些都是严重的安全缺陷。 因此，不管你的政治观点如何，这里的教训有几个可以让你留心的点： •身份验证是安全的关键，应该包含访问帐户的所有方式，包括密码重置。 •使用有序的标识并开放，很容易通过枚举和爬取记录下来，所以要改用随机ID •不要存储任何不需要或不应该存储的数据。保存的数据越少，风险就越小。 •监控、记录和事件处理流程有助于在发生违规时采取快速缓解措施。

避免被通过API获取用户数据

必须承认，在大多数企业尝试或正在进行数字化转型的今天，API承载了企业职能部门之间，甚至企业和客户、合作伙伴之间的系统的数据。因此，毫无疑问API会受到攻击者更多的“照顾”，对应的API的安全性需要得到更多的关注。 那么如何保护我们的API呢？最直接的当然是自己部署一个API网关工具了。 举个最简单的例子，在上述的新闻中，你可以通过API网关，对API调用次数做一个限制，以指定秒、分钟、天或其他相关约束的消耗量，达到上限后可以通过邮件或其他形式发出预警。同时，当下较流行的微服务网关还可以处理包含负载均衡，缓存，路由，访问控制，服务代理，监控，日志等事项。

API网关选择

现在的亚马逊、阿里、腾讯云都在提供基础公有云的API网关，基本使用是没有问题的，但是相比于公有云，更推荐找开源的私有云API网关，可以部署在自己的服务器上，更好地保证企业自身的数据安全。 如果选择私有云方案，笔者推荐的是Kong和Eolinker。Kong是当前市面上使用得最多的API网关工具，笔者之前使用的也是Kong。之后因为同事的推荐，换成了国产的Eolinker，和Kong的使用体验比较接近，而且是组织开发而不是个人开发，后续出现问题也容易找到人咨询解答。 Kong：https://konghq.com/ Eolinker：https://www.eolinker.com