Hacked at Black Hat

研究人员NinjaStyle在一篇博文中宣布，包括他在内的所有参加过拉斯维加斯黑帽大会的人的完整联系信息都以明文形式提供。他盗取了自己的徽章，并证明他可以访问其他所有参加过会议的人的数据，这要归功于BCard制造商ITN International使用的“遗留”API（即泄露的API）。

一旦接到通知，该公司迅速采取行动。NinjaStyle报告说，当ITN禁用API时，该漏洞在24小时内关闭。

T-Mobile因API泄漏而陷入困境

上周晚些时候，来自无线提供商T-Mobile的消息称，约3%的客户受到了“一个事件……可能影响了一些个人信息。

虽然3%听起来很小，但对于T-Mobile这样的巨头来说，在320万客户范围内，这仍然是一个巨大的原始数字。

这些信息可能包括“姓名、账单邮政编码、电话号码、电子邮件地址、账号和账户类型（预付费或后付费）。”

虽然该公司对违规行为是如何发生的含糊其辞，但Threatpost报告称，此次攻击“针对的是一个特定的泄露API，该API与该公司网站的一个未披露部分有关。”

该公司表示，袭击发生在8月20日早些时候，来自它所谓的“一个国际集团”，但很快被发现并关闭。

T-Mobile还表示，没有涉及任何金融数据，包括信用卡信息和社会安全号码。他们补充说，“没有密码被泄露。”

但最后一句话措辞非常谨慎，值得商榷。主板报告称，T-Mobile发言人承认“加密密码”包含在泄露的数据中，但由于加密，未被视为泄露。然而，她拒绝具体说明它们是如何加密的，或者使用了什么哈希算法。

一些专家告诉主板，这可能是“一个编码字符串，用众所周知的弱算法MD5散列而成，它可能被暴力攻击破解。”

这意味着客户应该假设他们的密码已被泄露，并对其进行更改。T-Mobile首席执行官约翰·莱格尔（John Legere）在一条推文中承认，“定期更改帐户密码总是一个好主意。”

密码保护是不够的

然而，简单地更改密码，虽然这应该是一个自动的、基本的响应，但并不意味着黑客的威胁消失了。Synopsys的高级首席顾问Amit Sethi指出，泄露的API泄露的信息“可能被用于有针对性的攻击，攻击者可以向T-Mobile的客户服务代表假冒客户。”

除此之外，攻击者还可能试图向其他无线运营商假冒客户，试图“转移”或劫持他们的电话号码。这可能使攻击者能够在合法客户电话变暗时拦截呼叫和消息。

Sethi说：“受影响的人应该确保他们已经在T-Mobile上设置了PIN，用于向客户服务代表进行身份验证，这是将他们的电话号码转移到另一家运营商所必需的。”

T-Mobile表示，它监控所有此类欺诈企图的账户。但该公司已敦促客户按照Sethi的建议创建PIN进行身份验证。

事实上，这只是在运营商网站上发现的一系列泄漏API中的最新一个。去年T-Mobile报告称，一个API在其网站上公开了个人和账户数据（一些黑客证实他们已经使用该API数周了）为了应对外埠骗局的激增，T-Mobile向客户发出警告，并要求他们设置PIN码以提供额外的账户保护。另一个API被发现返回个人和帐户数据，包括“引用”这些相同的PIN（尽管尚不清楚这些PIN是否以明文形式公开）。

如何防止API泄漏

不管是什么原因，最近的违规行为让一件事变得显而易见：组织应该在他们使用的API中寻找安全弱点。

Synopsys负责安全技术的副总裁加里·麦格劳（Gary McGraw）表示，这种事情“一直都在发生。在许多情况下，API和其他接口被设置为‘内部使用’，然后随着时间的推移，也开始‘外部’使用。这会导致混乱。”

“内部安全政策对待和信任员工的方式通常比外部安全政策对待互联网客户的方式更加宽容。”

Sethi说，如果没有这些公司提供更多的细节，“很难就根本原因发表评论。”

“然而，这（泄露的API）是一个完美的例子，说明通过自动扫描可能无法发现某些问题。通常需要手动渗透测试才能发现此类问题，”他说。

McGraw补充说，在开发过程中，有点偏执可能会提高安全性。他说：“开发人员通常构建这些东西是为了‘完成一些事情’，而不考虑谁做了错事，也不考虑他们可爱的小桥如何被滥用。”

“开发人员是世界上最乐观的人，他们对人们可能做的事情的默认方法往往反映了这种乐观。”

多位专家认为，消费者应该做一些事情，使自己远离“低挂水果”类别。这些措施包括：

定期更改密码，不要对多个帐户使用相同的密码。

根据建议，在联系T-Mobile等供应商时创建PIN以进行身份验证。

监视帐户，查看你没有购买的物品。请记住，黑客会经常测试你的帐户，在他们开始清理你的帐户之前，他们会购买一些他们希望你不会注意到的小东西。

Posted by：Taylor Armerding