开发者社区> 网站安全> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

APP数据被窃取 导致用户收到境外诈骗电话的解决办法

简介: 近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们SINE安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理。
+关注继续查看

近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们SINE安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理。

image

image

image

我们对关联到数据库的服务器以及项目进行了详细梳理,发现客户共使用了3台阿里云服务器以及RDS数据库实例,其中一台为APP和H5 API接口使用,另一台用于CRM机构账户的系统,还有一台是用于后台管理系统,我们SINE安全技术对服务器的日志,以及API接口的nginx网站访问日志进行了详细安全分析,并安排了技术人员对H5落地页,填写表单信息功能,以及下载客户的APP,进行了全面的人工安全渗透测试,在提交包含手机号的功能API接口里,发现存在返回数据包中存在用户信息泄露,如下图所示:

image

该API接口的POST请求包里的的uid,存在返回数据包数据泄露,而且该APP每天用户的注册量达到2W多,也就是相当于每天泄露两万多的用户信息,包含姓名以及身份证号,手机号,社保,房地产资产情况,这个漏洞的严重性实在是太大了,给平台运营者带来了巨大的损失,我们SINE安全跟客户详细沟通和了解后,这个程序源代码,原先最早是找的第三方公司去开发设计的,后期上规模后才招聘的JAVA程序员进行的二次开发,很多接口上的代码功能都是在摸索前进,所以有些接口的功能,就会出现数据泄露漏洞,导致该JAVA程序员没法去详细定位漏洞根源,毕竟最初开发程序的是第三方公司并不是JAVA程序员自己一手开发。我们SINE安全工程师继续对其他系统和服务器进行详细渗透测试,后台服务器也存在安全问题,由于APP的管理员非常多,难免有些管理员设置的密码较为简单,在后台这里发现某些管理员账户存在弱口令漏洞,通过登录该管理员账户,我们在后台设置发现短信接口的key和密钥,由于后台系统里的用户手机号这些信息都是脱敏加密的,我们SINE安全技术随即对第三方短信通道的key和密钥进行渗透测试,发现该第三方短信API接口存在漏洞,可以绕过白名单IP,直接使用KEY和密钥来请求短信接口,通过返回的数据包,来获得发送短信的手机号列表。如下图所示:

image

由于客户APP上到一定规模后,受到黑客的攻击会越来越多,许多客户在业务快速发展的同时,从而疏忽了APP安全上的问题,都觉得自己的技术人员能够解决信息泄露的漏洞问题,事实上不是这样,因为开发人员只是负责开发实现业务功能,并不知道该功能可能会存在漏洞,开发是开发,安全是安全,两者不是一回事,术业有专攻,一定要找专业的网站漏洞修复服务商来解决数据泄露的问题,排查日志和审计源代码漏洞,并进行整体的安全加固与防护,鉴于有些客户使用的事RDS阿里云数据库,而且并没有对数据库的访问进行IP白名单限制,导致黑客可以使用阿里云的密钥和key来获取rds的数据库连接信息,会造成数据库数据被盗取,数据库表里的信息也都会被窃取,而且黑客每天都会在固定时间,去自动提取用户的手机号和姓名,并将数据倒卖给第三方,第三方用香港电话进行骚扰推广以及网络诈骗,对此我们SINE安全建议大家,如果遇到这种用户数据泄露症状的问题,一定要找有实战安全防护经验的网站安全公司来解决此问题,只有APP安全稳定了,客户信息不被泄露了,才会源源不断的获取更多的用户,才会共赢,客户对此次的敏感信息泄露漏洞排查与修复感到满意,并签订了长期的渗透测试与APP安全维护服务,有新系统上线以及新功能增加与代码修改,我们对会第一时间进行人工安全检测,检测是否存在漏洞以及信息泄露的问题,提前做好安全防护,可将绝大多数的黑客攻击扼杀在襁褓之中。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
网站APP服务器数据被泄露该如何防护
数据泄露一旦发生,会对公司的造成极大的影响。如果处理妥当,危机还能够被化解。当公司遭到数据泄露时,至关重要的是在短期内快速的应急响应并处理,全面的前期准备是处理数据泄露事件的核心。在数据泄露产生以前,做好安全应急响应行动方案,能够尽可能的将损失降到最低。下边我们SINE安全的高级安全专家于涛,带领大家讨论怎样在发觉数据泄露的60分钟之内快速做出合理的安全事件响应。
0 0
Android 天气APP(二十七)增加地图天气的逐小时天气、太阳和月亮数据
Android 天气APP(二十七)增加地图天气的逐小时天气、太阳和月亮数据
0 0
Android 天气APP(二十五)地图天气(下)嵌套滑动布局渲染天气数据
Android 天气APP(二十五)地图天气(下)嵌套滑动布局渲染天气数据
0 0
Android 天气APP(二十一)滑动改变UI、增加更多天气数据展示,最多未来15天天气预报
Android 天气APP(二十一)滑动改变UI、增加更多天气数据展示,最多未来15天天气预报
0 0
Android 天气APP(二十二)改动些许UI、增加更多空气质量数据和生活建议数据展示
Android 天气APP(二十二)改动些许UI、增加更多空气质量数据和生活建议数据展示
0 0
Android 天气APP(二十)增加欢迎页及白屏黑屏处理、展示世界国家/地区的城市数据
Android 天气APP(二十)增加欢迎页及白屏黑屏处理、展示世界国家/地区的城市数据
0 0
Android 天气APP(十)继续优化、下拉刷新页面天气数据
Android 天气APP(十)继续优化、下拉刷新页面天气数据
0 0
运营商大数据精准截取点击网站、app、短信、座机通话等数据,高精准高意向。
【销售要求】:教育、房产、汽车、招商、婚庆、移民、留学、医疗等处于前期流量红利期,单个线索低于百度投放,转化率远高于竞价排名。短信营销、电话营销,需要合作企业有正规资质,金融业需要对应牌照,个人无法合作,仅限有营业执照的公司,运营商需备案!
0 0
数据火器库 - 八卦系列之瑞士军刀: 随APP携带的SQLite
来源:云数据库技术,数据库打工仔喃喃自语的八卦历史,1. 为导弹巡洋舰设计,用在手机上的数据库,2. Small and Simple, and Better,3. 如何看出是自己的娃:产品定位,特点和边界
0 0
使用 GetIt 同步App不同页面间数据
本篇完成了整个动态管理的业务逻辑,包括了新增、删除、编辑、查看次数等功能。通过 GetIt 容器管理插件及接口定义,可以很简单快速地完成页面之间的数据同步。
0 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
文章
问答
文章排行榜
最热
最新
相关电子书
更多
移动App持续交付之路
立即下载
移动App研发加速—跨平台解决方案
立即下载
云原生时代下的App开发
立即下载