单位敏感数据泄露,罪魁祸首竟然是食堂管理系统
2024-8-20 10:24:15 Author: www.4hou.com(查看原文) 阅读量:9 收藏

盛邦安全 行业 刚刚发布

1794

收藏

导语:单位敏感数据泄露,罪魁祸首竟然是食堂管理系统

近日,在为某国企单位进行网络安全保障期间,盛邦安全RayAPI产品监测到智慧食堂管理系统信息查询接口存在未鉴权风险,可导致大量敏感信息泄露,包括账号信息、身份照片及系统运行日志等,随后,安全研究人员对该风险进行了详细的验证。

验证步骤

1、RayAPI发现智慧食堂管理系统信息查询接口存在未鉴权风险。

QQ截图20240815170207.png

2、关联攻击检测策略进行分析,发现针对该接口存在漏洞利用攻击尝试。

QQ截图20240815170231.png

3、查看接口返回信息,发现存在手机号、身份证信息等敏感数据泄露事件。

QQ截图20240815170256.png

4、对接口敏感信息进行检测分析,发现除个人隐私信息外,还涉及大量账号信息,其中包括各类摄像头、售卖机和消费机等终端的管理IP及账号口令。

QQ截图20240815170320.png

5、进行主动验证测试,发现通过该接口可以直接批量获取敏感信息。

我们的建议

近年来,随着企业信息化、数字化的转型与升级,智慧园区建设当中也不断引入各类新型系统来打通管理流程,例如智慧食堂管理系统,此类系统往往涉及大量员工个人信息,并与其他企业管理系统通过API接口互通,同时又容易被安全运维人员所忽视。对此,我们从系统建设与安全治理两方面给出如下建议:

1、系统建设层面

(1)加强API接口权限控制,尤其针对涉敏类接口,除必要的认证手段之外,还应设定合理的访问频率限制,防止接口被恶意爬取;

(2)加强敏感数据管控措施,尤其针对个人隐私信息,一方面需建立必要的加密传输手段,另一方面需减少非必要的数据内容传输,防止数据过度暴露。

2、安全治理层面

(1)做好接口暴露风险检测。以RayAPI为例,通过对接口类型、调用内容与访问轨迹等条件的关联检测,识别敏感接口的误暴露风险情况;

QQ截图20240815170431.png

(2)做好接口异常行为检测。以RayAPI为例,通过对接口访问频次、数据调用规模的趋势分析,识别可能存在的接口攻击行为,并配合安全基线要求设定访问控制策略。

QQ截图20240815170509.png

原文链接

如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/Ey8k
如有侵权请联系:admin#unsafe.sh