标签: API

美国邮政局发布 API 漏洞补丁 6000 万用户安全受影响

讯 北京时间11月22日上午消息,据报道,美国邮政局(USPS)周三发布补丁修补了一个API漏洞。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户,大约有6000万美国邮政用户受该安全漏洞影响。 根据Kerbs on Security的报道,这个漏洞在一年前由一名独立的安全研究员首次发现,该研究员随后告知了美国邮政局,然而从未获得任何回复,直到上周Krebs以该研究员名义联系了美国邮政局。 受影响API是美国邮政局“Informed Visibility”项目的一部分,该项目旨在帮助批量邮件发件人能够以近乎实时的方式获得跟踪数据。然而问题在于,任何登录了系统并且对在Web浏览器控制台中修改参数有基本了解的人,在该API的“帮助下”,都可利用任何数量的“通配符”搜索参数获取其他用户的大量数据:从用户名、账号到实际地址和联系方式等等。 随后美国邮政局发布了一份声明,称目前为止他们并未发现该漏洞为人利用以获取用户信息。邮政局在获得此漏洞消息后将竭力修复漏洞减轻其影响。   稿源:,稿件以及封面源自网络;

详解币安 API 钓鱼事件:黑客何以一夜撬走近亿美元?

7月4日凌晨五时许,币安交易所出现超大额提现,2小时内,超过7000枚比特币转入同一地址,何一对此表示,这只是一个看上去比较异常的正常转账,并非网传被盗。然而,同日上午八时,币安暂停交易与提现,进行临时维护。 既然是“正常转账”,何来停机维护呢? 在巨额比特币流转的背后,一个名为Syscoin的小币种,在4日四时许价格迅速拉升了320万倍,一枚SYS价格达到了96BTC——SYS的日常均价一直是0.00003BTC左右。随着SYS价格被拉爆,黑客再通过其他交易所出货,至少能获利8000万。 币安官方公告指出,这是一次“部分API用户的钓鱼事件”,何为API钓鱼事件?又是如何获利的呢? 金色财经邀请KEX交易所的CTO刘宏斐对事件进行技术解读。API钓鱼事件,可理解为通过常规的钓鱼手段,包括并不限于假冒网上银行、垃圾邮件、虚假电商广告等不法手段,来获取收集用户的账号信息,并由此获得API接口权限,并通过大量的API接口操作来影响交易市场。刘宏斐表示,由于API权限位于用户权限下,因此只要得到了平台的用户权限即可控制其API权限。如果黑客能够从一个或者几个平台获取大量的API控制权,即大量的用户账号登录信息,就可以左右市场行情。 发动攻击的人掌控足够的API之后,足以操控某个币种的市场涨跌,只要涉及的资金量和某项目的资金盘达到一定比例,就能引发巨额涨跌,因此交易量小和单价低的小币种容易成为攻击对象。当瞬间拉高小币种的价格之后,再通过卖出提前低价埋伏在其他交易平台的该币种即可获利。 这样的事件过后往往跟随比特币的下跌,3月7日,币安也发生了性质极为相似的黑客攻击时间,那一次买入的小币种是VIA,攻击发生后两天,比特币暴跌近1000美元。这一次,攻击发生后30分钟,比特币跌去130美元。黑客通过提前做好的空单,可二次获利。 针对这次异常事件,币安提出了四点处理方案,包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等。 那么删除API记录的做法能够在多大程度上弥补损失呢?刘宏斐指出,从技术角度看,“如果是单纯删除API记录,其实作用不大,只能防止攻击者在短时间内不能进行再次攻击。真正有效的方式是,修复生成API过程可以绕过二次验证(GOOGLE验证等)的漏洞,防止在用户未知的情况下生成API”。 交易所阻止黑客控制API有若干种办法,首先就是要尽可能保障用户账号的安全,通过短信验证码、GOOGLE验证码等安全手段(此次攻击中,生成API流程的2FA被绕开)增加账号的安全机制;另外,在生成API的过程中加入人工审核的互动过程,确认此操作为用户的本意操作。据刘宏斐介绍,KEX交易所目前采用的也是这种安全措施。 对于回滚交易的操作,刘宏斐认为,这仅能恢复事故之前的账户情况,对用户的利益做到一定程度的弥补,但对于“追回”黑客已经获取的利润则没有意义。 因为此种攻击黑客并没有直接通过被盗账号来直接获取利益,而是通过大量被盗账号的买卖行为影响市场,并且在其他平台上已经交易提现。 对于普通交易所用户来说,虽然账户记录已经回滚,但潜在地,会有相当一部分加密货币交易者对币安甚至所有的交易所安全性产生质疑与恐慌,甚至引发踩踏性跟风抛盘,这对于整个加密货币行业和区块链产业都会产生冲击。 刘宏斐建议,普通用户为了保护自己在这样的事件内免受损失,需要做到两点。首先最好将平台内提供的安全防护手段,例如,短信验证、邮箱验证、谷歌验证码等安全机制尽可能的打开,这样虽然增加了登陆的复杂度,但其实这也是保证平台数字资产的最基本手段;其次就是安全保密数据的保存方式。例如,密码采用专业的密码管理工具,存放数字资产的移动设备不随意安装未知APP,不随意扫描二维码等,不在未知陌生的站点泄露用户信息。 随着信息化不断深入到我们生活中的每个角落,我们的资产由传统的有形资产在不断转化为数字资产。金色财经认为,数字资产不同于有形资产,在保存方式上需要我们重新树立新的信息化安全防范意识,交易所等金融敏感的平台不应单纯的只强调“用户体验”、“易用性”,而忘记了信息安全的重要性。 稿源:金色财经,封面源自网络;

家中音箱突然半夜高歌?别担心,它只是被黑了

据外媒 1 月 1 日报道,网络安全软件公司趋势科技证实一些型号的 Sonos 和 Bose 智能音箱存在安全漏洞,或可导致设备被劫持。相关研究人员称攻击者利用该漏洞进行简单的网络扫描,从而远程操控设备,例如播放诡异的音乐以及执行 Alexa 语音命令。虽只有小部分型号的音箱受到影响(其中包括 Sonos One 和 Bose SoundTouch ),但目前为止约有 2500 – 5000 台 Sonos 设备和 400- 500 台 Bose 设备已遭到攻击 。 据趋势科技研究人员介绍,攻击者通过扫描互联网寻找易受攻击的设备,一旦发现存有漏洞的音箱就立即使用 API 来引导其播放托管在特定 URL 上的音频文件。研究人员解释说有缺陷的音箱允许同一网络上的任何设备在未进行身份验证的情况下使用如 Spotify 或 Pandora 之类的应用程序的 API。攻击者利用该 API 可以播放任意 URL 的音频文件。此外,攻击者除了任意播放音乐,还制造了一些更加恐怖的攻击场景,比如通过语音助手设备控制门锁、空调和照明等智能家居的功能。 趋势科技称之所以会出现音箱被人侵的事件,其主要原因可能与这些音箱连接到一个错误配置的网络上有关。目前 Sonos 表示已发布安全补丁,解决了包括拒绝服务(DoS)错误在内的一些问题,但 Bose 方面仍然没有回应。 相关参考阅读: < The Need for Better Built-in Security in IoT Devices > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Twitter 开放 “廉价访问用户数据” 的高级 API

对于有兴趣从 Twitter 上收集数据的小型第三方开发商来说,随着全新高级 API 的发布,整个过程将变得更加实惠。而在过去,该公司仅提供一项免费的、以及企业级的访问 API 。但对于需要介于两者之间的某些数据的开发者来说,为了轻量级的数据使用而支付高额费用的情况,实在是有些浪费。不过,好消息是,该公司近期推出了全新的 “Twitter premium APIs”。 新的 API 提供了更大的访问权限,可以向 Twitter 平台发出自动请求。取决于个人或商业应用的需求,新 API 的月费从 $149 到 $2499 美元不等。对于请求的更高的速率限制、以及更复杂的查询,也都在新增的中间层选项中得到了支持。对于广告商们来说,其也能够获得更多的元数据,以及改进的地理位置信息。 Search Tweets API 当前正处于公测阶段,允许开发者收集过去 30 天内的 Twitter 数据。但最终,该服务将允许对 Twitter 存储的所有数据进行查询。 稿源:cnBeta,封面源自网络;