某市住房公积金管理中心在官方网站上提供了一项查询服务方便缴存职工在线查询个人公积金账户信息。该功能在开发时设计为通过用户输入身份证号和姓名后调用后台接口返回账户余额和缴存明细。然而开发人员在设计接口时没有对查询参数进行充分的安全校验也没有对查询频率进行有效限制。安全审计人员在对该系统进行安全评估时发现通过修改接口请求中的身份证号参数字段竟然可以遍历查询到系统中任意用户的公积金账户信息包括账户余额缴存记录贷款信息和个人基本信息。
这个安全漏洞意味着任何了解接口调用方式和参数构造规则的人都可以通过程序化的方式批量获取全市数百万公积金缴存用户的个人敏感信息。审计人员立即将漏洞报告给了公积金管理中心要求紧急修复。中心的技术团队迅速对接口进行了安全加固包括增加用户身份验证实施请求频率限制和部署异常访问检测机制。但由于接口已经存在了较长的时间无法确定在漏洞修复前是否已经有人利用该漏洞获取了数据。
公积金账户信息包含了缴存职工的工作单位信息月缴存金额账户余额和贷款情况等敏感内容。这些信息不仅涉及个人隐私还可以从缴存金额推断出个人的收入水平从缴存单位推断出工作信息从贷款记录推断出购房情况。当这些数据被批量获取后可以被用于精准营销诈骗甚至是商业竞争情报分析。
公共服务平台的API接口安全是一个被很多开发团队忽视的领域。开发人员容易认为接口是后台功能普通用户看不到就没有问题但实际上接口一旦被公开访问就属于暴露在互联网上的攻击面。所有对外API接口都应当实施严格的访问认证和权限控制不应当允许未经身份验证的匿名访问。对于涉及查询个人信息的接口还应当对输入参数进行严格的合法性校验防止参数伪造和篡改。在接口设计阶段就需要将安全作为核心需求而不是在测试阶段或上线后才来弥补。北京企密安在帮助政府部门进行信息系统安全评估时发现API接口越权漏洞是最常见也最危险的安全问题之一因为这类漏洞往往可以导致大量敏感数据的批量泄露。
本次事件之后公积金管理中心对全系统进行了全面的安全整改。整改工作包括了对外部接口的全面梳理和风险评估对所有查询类API实施强制身份认证和频率限制建立异常访问行为实时监控系统。同时中心还委托了第三方安全机构进行了深度的渗透测试和安全评估对发现的漏洞逐一进行了修复和验证。中心管理层在总结这次事件时表示信息安全的投入不能等出了问题再重视而应当在系统建设之初就将安全作为核心需求进行设计。政府公共服务平台的接口安全直接关系到广大市民的个人信息安全必须用最严格的标准来保障。北京企密安在协助政府部门进行信息系统安全评估时发现API越权漏洞是最常见的安全问题这一类漏洞的修复往往需要在系统架构层面进行调整不能简单地补丁了事需要从认证授权和数据隔离等多个维度进行系统性改进才能真正消除安全隐患确保公众个人信息的绝对安全。
