如何避免被經過API獲取用戶數據？美國網絡社區Parler親身示範！

Parler的API漏洞

美國最近的政治鬧劇也影響到了科技公司，並致使被發現了API漏洞。在特朗普支持者中很受歡迎的相似Twitter的社交網絡Parler有70 TB的數據由於不安全的api被竊取。
從各類文章和討論線索來看，彷佛發生瞭如下狀況：
1.Parler正在使用Twilio驗證密碼重置賬戶。
2.Twilio決定中止爲Parler服務，帳戶驗證被刪除
3.攻擊者可以接管Parler的一些管理帳戶。
4.攻擊者使用這些賬戶在系統中建立更多管理員。
5.被劫持的和新的管理員賬戶被用來訪問和抓取用戶發佈在Parler上的帖子、圖片和視頻等。
Parler 上帖子的id是連續的，所以攻擊者很容易將它們所有枚舉出來。圖片和視頻文件能夠原始格式訪問，其中包括全部元數據好比位置信息。
不只如此，即便是被刪除的帖子也仍然能夠抓取到：當用戶刪除一篇帖子時，Parler實際上並無刪除內容，只是將其標記爲已刪除，並將其放在視線以外。
這些都是嚴重的安全缺陷。
所以，無論你的政治觀點如何，這裏的教訓有幾個可讓你留心的點：
•身份驗證是安全的關鍵，應該包含訪問賬戶的全部方式，包括密碼重置。
•使用有序的標識並開放，很容易經過枚舉和爬取記錄下來，因此要改用隨機ID
•不要存儲任何不須要或不該該存儲的數據。保存的數據越少，風險就越小。
•監控、記錄和事件處理流程有助於在發生違規時採起快速緩解措施。

避免被經過API獲取用戶數據

必須認可，在大多數企業嘗試或正在進行數字化轉型的今天，API承載了企業職能部門之間，甚至企業和客戶、合做夥伴之間的系統的數據。所以，毫無疑問API會受到攻擊者更多的「照顧」，對應的API的安全性須要獲得更多的關注。
那麼如何保護咱們的API呢？最直接的固然是本身部署一個API網關工具了。
舉個最簡單的例子，在上述的新聞中，你能夠經過API網關，對API調用次數作一個限制，以指定秒、分鐘、天或其餘相關約束的消耗量，達到上限後能夠經過郵件或其餘形式發出預警。同時，當下較流行的微服務網關還能夠處理包含負載均衡，緩存，路由，訪問控制，服務代理，監控，日誌等事項。

API網關選擇

如今的亞馬遜、阿里、騰訊雲都在提供基礎公有云的API網關，基本使用是沒有問題的，可是相比於公有云，更推薦找開源的私有云API網關，能夠部署在本身的服務器上，更好地保證企業自身的數據安全。
若是選擇私有云方案，筆者推薦的是Kong和Eolinker。Kong是當前市面上使用得最多的API網關工具，筆者以前使用的也是Kong。以後由於同事的推薦，換成了國產的Eolinker，和Kong的使用體驗比較接近，並且是組織開發而不是我的開發，後續出現問題也容易找到人諮詢解答。
Kong：https://konghq.com/
Eolinker：https://www.eolinker.com