APP数据被窃取 导致用户收到境外诈骗电话的解决办法

简介: 近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们SINE安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理。

近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们SINE安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理。

我们对关联到数据库的服务器以及项目进行了详细梳理,发现客户共使用了3台阿里云服务器以及RDS数据库实例,其中一台为APP和H5 API接口使用,另一台用于CRM机构账户的系统,还有一台是用于后台管理系统,我们SINE安全技术对服务器的日志,以及API接口的nginx网站访问日志进行了详细安全分析,并安排了技术人员对H5落地页,填写表单信息功能,以及下载客户的APP,进行了全面的人工安全渗透测试,在提交包含手机号的功能API接口里,发现存在返回数据包中存在用户信息泄露,如下图所示:

该API接口的POST请求包里的的uid,存在返回数据包数据泄露,而且该APP每天用户的注册量达到2W多,也就是相当于每天泄露两万多的用户信息,包含姓名以及身份证号,手机号,社保,房地产资产情况,这个漏洞的严重性实在是太大了,给平台运营者带来了巨大的损失,我们SINE安全跟客户详细沟通和了解后,这个程序源代码,原先最早是找的第三方公司去开发设计的,后期上规模后才招聘的JAVA程序员进行的二次开发,很多接口上的代码功能都是在摸索前进,所以有些接口的功能,就会出现数据泄露漏洞,导致该JAVA程序员没法去详细定位漏洞根源,毕竟最初开发程序的是第三方公司并不是JAVA程序员自己一手开发。我们SINE安全工程师继续对其他系统和服务器进行详细渗透测试,后台服务器也存在安全问题,由于APP的管理员非常多,难免有些管理员设置的密码较为简单,在后台这里发现某些管理员账户存在弱口令漏洞,通过登录该管理员账户,我们在后台设置发现短信接口的key和密钥,由于后台系统里的用户手机号这些信息都是脱敏加密的,我们SINE安全技术随即对第三方短信通道的key和密钥进行渗透测试,发现该第三方短信API接口存在漏洞,可以绕过白名单IP,直接使用KEY和密钥来请求短信接口,通过返回的数据包,来获得发送短信的手机号列表。如下图所示:

由于客户APP上到一定规模后,受到黑客的攻击会越来越多,许多客户在业务快速发展的同时,从而疏忽了APP安全上的问题,都觉得自己的技术人员能够解决信息泄露的漏洞问题,事实上不是这样,因为开发人员只是负责开发实现业务功能,并不知道该功能可能会存在漏洞,开发是开发,安全是安全,两者不是一回事,术业有专攻,一定要找专业的网站漏洞修复服务商来解决数据泄露的问题,排查日志和审计源代码漏洞,并进行整体的安全加固与防护,鉴于有些客户使用的事RDS阿里云数据库,而且并没有对数据库的访问进行IP白名单限制,导致黑客可以使用阿里云的密钥和key来获取rds的数据库连接信息,会造成数据库数据被盗取,数据库表里的信息也都会被窃取,而且黑客每天都会在固定时间,去自动提取用户的手机号和姓名,并将数据倒卖给第三方,第三方用香港电话进行骚扰推广以及网络诈骗,对此我们SINE安全建议大家,如果遇到这种用户数据泄露症状的问题,一定要找有实战安全防护经验的网站安全公司来解决此问题,只有APP安全稳定了,客户信息不被泄露了,才会源源不断的获取更多的用户,才会共赢,客户对此次的敏感信息泄露漏洞排查与修复感到满意,并签订了长期的渗透测试与APP安全维护服务,有新系统上线以及新功能增加与代码修改,我们对会第一时间进行人工安全检测,检测是否存在漏洞以及信息泄露的问题,提前做好安全防护,可将绝大多数的黑客攻击扼杀在襁褓之中。

相关文章
|
6月前
|
监控 安全 数据可视化
java基于微服务的智慧工地管理云平台SaaS源码 数据大屏端 APP移动端
围绕施工现场人、机、料、法、环、各个环节,“智慧工地”将传统建筑施工与大数据物联网无缝结合集成多个智慧应用子系统,施工数据云端整合分析,提供专业、先进、安全的智慧工地解决方案。
157 1
|
6月前
|
传感器 人工智能 监控
Uni-app智慧工地数据大屏可视化监管平台源码带APP
智慧工地的核心是数字化,它通过传感器、监控设备、智能终端等技术手段,实现对工地各个环节的实时数据采集和传输,如环境温度、湿度、噪音等数据信息,将数据汇集到云端进行处理和分析,生成各种报表、图表和预警信息,帮助管理人员了解工地的实时状况,及时做出决策和调整,
170 0
|
6月前
|
存储 JavaScript 小程序
jQuery、vue、小程序、uni-app中的本地存储数据和接受数据是什么?
jQuery、vue、小程序、uni-app中的本地存储数据和接受数据是什么?
73 0
|
6月前
|
XML 物联网 API
Android Ble蓝牙App(五)数据操作
Android Ble蓝牙App(五)数据操作
566 0
|
6月前
|
存储 JavaScript 小程序
jQuery、vue、小程序、uni-app中的本地存储数据和接受数据
jQuery、vue、小程序、uni-app中的本地存储数据和接受数据
62 0
|
6月前
|
机器学习/深度学习 算法 数据可视化
基于Google Earth Engine云平台构建的多源遥感数据森林地上生物量AGB估算模型含生物量模型应用APP
基于Google Earth Engine云平台构建的多源遥感数据森林地上生物量AGB估算模型含生物量模型应用APP
219 0
|
6月前
|
存储 移动开发 JavaScript
uni-app页面数据传参方式
uni-app页面数据传参方式
421 4
|
28天前
|
JSON API 网络安全
App数据的爬取
App数据的爬取
|
3月前
|
存储 SQL JSON
【Azure Logic App】微软云逻辑应用连接到数据库,执行存储过程并转换执行结果为JSON数据
【Azure Logic App】微软云逻辑应用连接到数据库,执行存储过程并转换执行结果为JSON数据
【Azure Logic App】微软云逻辑应用连接到数据库,执行存储过程并转换执行结果为JSON数据
|
3月前
|
缓存
【Azure Function】Function App代码中使用Managed Identity认证获取Blob数据时遇见400报错
【Azure Function】Function App代码中使用Managed Identity认证获取Blob数据时遇见400报错
【Azure Function】Function App代码中使用Managed Identity认证获取Blob数据时遇见400报错