北京
分享至
Devrim Software的工程师们最近翻日志时,发现了一件让自己后背发凉的事。他们某个公开API端点——专门用来搜索用户公开资料的接口——从上线起就没套过任何防护。没有认证,没有限流,就像一扇没上锁的后门,谁都能推门进来翻东西。
问题出在搜索功能的实现上。这个端点支持模糊匹配,输入一个字母就能返回一堆用户资料,邮箱地址赫然在列。更糟的是,返回结果没有分页限制,一次请求能拖出几百条记录。有爬虫盯上了这个口子,三个月里慢悠悠地爬,等团队发现时,4万个真实用户邮箱已经流了出去。
「我们当时觉得,先让功能跑起来,安全以后再加。」团队复盘时写了这句话。这种心态在创业公司里太常见了:MVP优先,技术债先欠着。但数据泄露不会等你排期,爬虫更不会读你的路线图。
事后他们补上了全套防护:API密钥认证、基于IP的速率限制、敏感字段脱敏、再加上异常流量监控。但流出去的邮箱收不回来,只能一封封发通知道歉。有个用户在工单里回复说,自己上周刚收到第三封钓鱼邮件,发件人准确报出了他在平台上的注册名。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
