如今，智慧城市建设如火如荼，“智慧停车平台”作为其中刚需且高频的典型应用之一，在平台数字化的深入推进下，其业务安全问题正在逐渐暴露。

近日，威胁猎人（前“永安在线”）协助江门市公安局成功破获一起“智慧停车平台数据泄漏”案件，顺利抓捕非法获取公民个人行踪轨迹的跨省市作案特大犯罪团伙，涉案金额超100余万。

智慧停车数据泄露形势严峻 “寻车”黑产团伙作案猖獗

为深入了解“智慧停车平台”目前面临的风险情形及其安全建设现状，联系到威胁猎人进一步了解该事件，在威胁猎人CSO邓欣的介绍下，“寻车”黑色产业链的隐秘面纱被缓缓揭开。

据邓欣介绍，威胁猎人协助江门公安破获的“智慧停车数据泄露案”的背后，暗藏着分工明确、配合严密的非法“寻车”产业。所谓“寻车”产业，即围绕非法找车需求而衍生的产业，在车主不知情或未经车主允许的情况下，将车辆的定位信息提供给他人，比如提供给催收公司、私家侦探甚至“寻仇”的仇家等。

该案件中，犯罪团伙的作案过程涉及黑产工具攻击、数据盗取、安装GPS、资金交易等环节，已然形成了一条完整的“寻车”业务链：

2022年初，犯罪团伙开始作案，利用技术手段对市场上十余个主流停车平台进行攻击，非法获取大量公民车辆位置和轨迹信息，并在TG、暗网等渠道进行服务推广；

随后，犯罪团伙根据上游贷款公司提供的“目标车辆”车牌号码，组织“贴手”到相关停车场将GPS定位设备“偷装”在车辆下方；

最终，犯罪团伙通过精准定位车辆行踪，获取车主更多隐私信息，向上游贷款公司售卖相关信息并提供定位服务，从中非法获利。

值得注意的是，该案的发生并非偶然事件，去年已有新闻报道，安徽、江苏、陕西、云南等地的多个“智慧停车平台”可任意绑定他人车牌号，在无需验证授权的情况下，能精准查询到任意车辆出入停车场、缴费情况等信息，广大车主对自身隐私安全表示担忧。

市民反映安徽池州智慧停车可绑陌生车牌还可查询

今年4月，威胁猎人风险情报平台还捕获到一批攻击停车场管理系统的工具，被攻击的停车管理系统服务商高达十余个，服务商旗下停车场覆盖广东、浙江、云南、安徽等地的全国30余个城市，服务了数百家智能停车场，日管理用户超过220万辆。

另外，从威胁猎人给部分智慧停车应用做安全评估的结果显示，应用中存在不少严重漏洞，如SQL注入、任意用户登录、信息泄漏等等，泄露的信息包括车主姓名、照片、身份证、手机号等。

智慧停车平台为何数据泄漏频发？ API安全缺陷成其根本原因

如前所述，黑产团伙正在突破惯常的作案手段和边界，攻击目标朝着“智慧停车平台”等新兴数字化基础设施不断蔓延。在邓欣的深入介绍下，我们从风险趋势、攻击原因等维度进一步了解“智慧停车平台”面临的风险现状：

从网络风险趋势来看，人们的生活越来越数字化，数据不再只是以数据库和文件共享的方式存在，而是通过API来流动，企业线上业务及云上通讯都要靠API来实现。当API数量不断增多、应用范围不断扩大，各种API接口暴露在互联网，而企业现有的防护措施无法满足API安全管理的需求，业务风险暴露面随之扩大，很多行业的API都成为被攻击的重点目标，“智慧停车”也是其中之一。

从行业安全现状来看，近几年在智慧城市建设的驱动下，“智慧停车平台”发展迅速，几乎覆盖全国各地，其管理系统的应用越来越普遍，涉及车主数据量极大。由于当前智慧停车管理系统的API及流动数据安全的防护较为薄弱，甚至没有防护，攻击者很容易通过攻击这类平台，获取到车主及车辆轨迹信息，“智慧停车平台”也因此而成为黑产攻击的重点目标。

从黑产攻击原因来看，有需求就有市场，非法找车需求滋生出庞大的“寻车”产业，“寻车”业务链涉及黑产工具攻击、数据盗取、安装GPS、资金交易等环节，在利益的驱动下，“智慧停车平台”便成了黑产攻击并窃取数据的重要目标。

透过上述“智慧停车平台”面临的风险现状，我们可以看出其风险本质在于企业缺乏API建设与管理。对此邓欣指出，不少企业存在较大的API安全管理隐患，尤其对于传统安全防护能力弱，或者缺乏安全防护的行业，包括：

不了解企业API资产现状：数字化转型过程中，企业业务及应用系统更新快、API数量多，很多企业对API开放数量、访问关系、活跃状况、涉敏流动数据等不了解，容易存在API开发缺陷、缺乏第三方管理、运营中的误授权等问题。

不清楚存在哪些API缺陷：新增的数字化应用系统的API安全设计往往不够细致，普遍存在大量设计缺陷，对API在认证、授权、数据暴露、输入检查、安全配置等方面是否存在可被攻击者恶意利用的安全漏洞不可知，企业很难通过有限的人力来对API资产进行缺陷检测。

无法及时感知API风险：针对API发起的攻击流量无异于正常的业务请求，现有安全手段难以识别此类攻击风险，更难以追溯供给来源，容易造成大规模数据泄漏。

此外，基于威胁猎人的攻防情报研究，黑产各类攻击资源越来越专业化、市场化、模块化。以本次数据泄露事件中的“寻车”产业为例，其产业链不同层级的团伙分工明确又配合严密，攻击者在攻防对抗中通过利用动态代理IP资源、API查询缺陷等方式，伪装成正常的流量请求，对API进行低频、慢速攻击，可绕过传统的风险检测规则和模型，使得与黑产对抗、进行分析溯源的难度不断升级。

基于风险情报 构筑API安全管控闭环

面对越来越多的API攻击和数据泄露风险，企业需要从多个维度来构建防御体系。据有关媒体观察，传统安全手段在API安全防护方面往往显得力不从心，如在安全检测上，传统的漏洞扫描很难发现API或微服务上存在的安全问题；在安全防御上，流量安全防御设备也无法像在常规Web防护上发挥明显的防御价值。

那么，有效的API安全建设及管理成为企业提升整体安全水位的重点。根据威胁猎人多年技术研究和实践经验，邓欣建议基于风险情报来构建攻击检测模型，做到及早感知、及时防御，从而保障企业及其用户的数据安全。

1、以API资产为中心，持续动态梳理API资产，包括及时了解API开放数量、API活跃状态、僵尸API、影子API以及API中流动的敏感数据等情况，对API资产及其风险的了解更清晰、直观。

2、在API资产和数据资产可见的基础之上，借助“情报”持续跟踪攻击者如何利用新型攻击手段或漏洞对API进行攻击，及时告警撞库、扫号、数据爬取等攻击风险，提升风险事件的响应速度，实现主动防御。

业务风险不可小觑 API安全价值未来可期

数据泄漏风险往往伴随业务而生，API承载业务逻辑及大量流动数据，其安全建设是非常值得企业重视的。一方面，重业务、轻安全的情况仍较为普遍，不少企业对API安全建设不够重视，缺乏系统化的管理经验，忽略了API攻击所带来的巨大风险；另一方面，黑产攻击手段不断进化，API风险的感知和阻断难度越来越大，而传统的安全防护产品难以应对日趋复杂、高频的黑产攻击，这些都对企业数据安全管理与建设提出较大挑战。

威胁猎人提出的基于情报建立API安全基线的方式，加强对API攻击、数据泄露等风险的监测和预警，帮助企业构建高效的API安全管理闭环，为业界做出了有益的实践。相信随着API的广泛应用，会有越来越多的行业和用户逐渐认识和了解API安全的价值，打开API安全建设的新思路。

免责声明：该文章系我网转载，旨在为读者提供更多新闻资讯。所涉内容不构成投资、消费建议，仅供读者参考。