國外

2018/2019

Facebook

國外安全人員發現超過2.67 億條Facebook ID、電話號碼和姓名等信息被儲存在某公開數據庫中。有研究顯示，該數據庫中的數據可能通過某未知API 接口抓取，并非來自用戶公開的信息。

2019

Twitter

Twitter 公司發現大量虛假賬戶非法調用提供電話號碼搜索用戶功能的API 接口。不法分子可利用這一接口獲取用戶信息，進而開展釣魚攻擊、電話詐騙等違法活動。Twitter于事件曝光后緊急修改該接口功能使相關查詢無法返回具體的賬戶名稱.

國內

2020

新浪微博

媒體報道新浪微博因用戶查詢接口被惡意調用導致App 數據泄露。新浪微博方面稱此次數據泄露可追溯至2018年末，有用戶非法調用App 用戶查詢接口，通過批量上傳手機通訊錄匹配用戶賬號昵稱，并結合其他渠道獲取的信息進行出售。事件曝光后，新浪微博表示將采取升級接口安全策略等措施，做好用戶個人信息保護工作。

2020

微信

騰訊微信團隊在“微信開放社區”發布《關于收回小程序"用戶實名信息授權"接口的相關說明》，稱為進一步提升用戶使用的安全體驗，將于2020 年5 月31 日收回小程序“用戶實名信息授權”接口，并停止了該接口的申請和接入。微信方要求無相關業務場景或需求的小程序停止使用該接口，并向仍有用戶實名認證需求的小程序提供“實名信息校驗接口”作為替代方案。

事前

統一API 設計開發規范

健全API 設計、開發、測試等環節標準規范和管理制度，引導API 開發運維流程標準化，提高對API 安全的重視程度

API 上線、變更、下線環節實時監控

對API 部署情況進行全面排查，梳理統計API 類型、活躍接口數量、失活接口數量等資產現狀

• 上線前：風險評估，發現問題暫停上線并及時調整，確保上線API 安全性；

• 上線后：對運行情況進行實時監控，發現接口運行異常、惡意調用等情況及時采取防護措施，修復相應問題；

• API 不再使用：遵循下線流程及時進行處理，防止失活API 持續在線，成為安全隱患

完善API 身份認證和授權管理機制

• 針對提供數據增、刪、改等高危操作的API，嚴格規范用戶權限管理；

• 對涉及敏感信息、重要數據的API 加強接入方資質和數據安全防護能力審核，規范合作要求，避免因接入方原因導致數據安全事件

健全API 安全防護體系

部署API 網關統一接口管理等

加強API 安全保護宣傳力度，提高員工安全意識

提高員工特別是API 開發運維人員的安全意識，進一步提高內部RD整體數據安全認識

事中

API 身份認證實時監控能力

重點監控高頻登錄嘗試、空Referer、非瀏覽器UA 頭登錄等具有典型機器行為特征的操作，對異常登錄、調用行為進行分析，發現惡意行為及時告警。

異常行為實時監測預警能力

重點監控短時間內大量獲取敏感數據、訪問頻次異常、非工作時間獲取敏感數據等異常調用、異常訪問行為進行實時分析

加強數據分類分級管控能力

針對API 涉及的敏感數據按照統一策略進行后端脫敏處理，并結合數據加密、傳輸通道加密等方式保護API 數據傳輸安全。重點關注接口單次返回數據量過多、返回數據類型過多等情況。

API 數據流向監控能力

通過分析訪問和被訪問IP 的局域、地域或法域，實現對數據流向的實時監控，防范數據接收方非法出售或濫用個人信息風險，發現相關違法違規事件及時阻斷API 接入應對境外IP 訪問內網API 或者內部IP 訪問境外API 的情況重點關注、及時預警。

事后

健全應急響應機制

制定API 安全事件應急響應預案并納入企業現有應急管理體系，應急流程包括但不限于監測預警及報告、數據泄露事件處置、危機處理及信息披露等環節。

健全日志審計機制

對接口訪問、數據調用等操作進行完整日志記錄，并持續開展安全審計。

健全數據泄露溯源追責機制

制定API 相關安全事件溯源方案，發生安全事件后及時追蹤數據泄露途徑、類型、規模、原因，分析根本原因