攻击者滥用TikTok和Instagram API
2025年5月22日 · 3分钟阅读
这似乎是API安全事件频发的季节。继开发人员泄露特斯拉和SpaceX私有LLM的API密钥后,研究人员又发现一套通过滥用未公开TikTok和Instagram API来验证账户信息的工具集。
这些工具及推测的利用行为涉及上传至PyPI的恶意Python包——checker-SaGaF、stein lurks和inner core。这些包可自动化验证被盗邮箱、用户名或密码是否关联有效账户。本文将深入分析该事件细节,并探讨Wallarm如何防护类似API滥用行为。
事件经过:API被转化为侦察工具
每个恶意包都针对官方应用使用的合法但基本未公开的API端点,这些端点用于账户恢复、登录检查和注册流程。通过利用这些API端点,攻击工具可在不触发警报的情况下确认给定邮箱、用户名或密码是否关联有效账户。
例如:
- TikTok内部密码重置API被用于发送虚假密码恢复请求。若API返回"发送成功"响应,攻击者即知该邮箱关联真实账户
- Instagram登录API被使用虚拟凭证探测。若错误响应提示密码错误但未提及用户无效,则确认用户名存在
- 额外Instagram端点被用于检查注册时邮箱可用性、触发密码重置或查询用户查找API。这些端点本不应公开访问,但因可通过互联网访问而成为滥用目标
这本质上并非系统入侵,而是利用平台自有API实现自动化可扩展侦察的工具集。
风险核心:验证的重要性
通过链式使用这些工具的验证测试,攻击者可构建经过验证的活跃TikTok和Instagram账户列表。凭证验证显著提升恶意分子转售价值,并为后续撞库或钓鱼攻击提供可靠基础。
部分工具和测试通过轮换用户代理、伪造设备详情和随机化请求来规避速率限制和检测。这意味着凭证不会被添加到Have I Been Pwned等暴露凭证追踪平台,显示出超越基础机器人活动的复杂程度。
更重要的是,由于密码重用仍普遍存在,在Instagram或TikTok等平台测试凭证可使攻击者识别哪些凭证可能在其他场景(如邮箱、网银或电商账户)有效。本质上,攻击者将这些合法API转化为侦察工具,协助绘制可开发身份图谱。
恶意自动化:伪装成正常行为
这些凭证检查器展示恶意自动化如何利用合法应用规避检测。例如steinlurks使用多重功能针对Instagram,循环访问不同端点、轮换会话ID并伪造设备详情以避开检测。
这不仅是API滥用,更是旨在融入真实用户流量并规避传统防御的隐蔽自适应自动化。
检测API滥用:行为分析的价值
由于这些请求类似合法应用请求,传统防御措施如IP封锁、速率限制或静态机器人检测均不足够。组织需要行为检测,监控API随时间的使用模式而非仅关注独立请求。虽然这些测试工具可能发送精心构造的合法请求,但无法在整个会话中复现应用行为。
这正是Wallarm API滥用预防功能的用武之地。我们结合机器学习(ML)和统计分析检测滥用迹象,包括:
- 异常请求速率或模式
- 会话和IP轮换行为
- 低端点多样性(表明机器人重复访问特定功能)
- 异常认证活动
- 基于意图的信号(如无登录尝试即发起恢复流程)
Wallarm检测器随时间建立应用行为特定方面的基线,继而识别异常会话。检测器组合可指向特定恶意行为(如账户接管尝试)。当平台检测到可疑活动时,会自动封锁或限制来源,最小化滥用风险。
安全领导者应对措施
为防护凭证验证活动等复杂API滥用,安全领导者应采取以下措施:
- 审计API端点:定期审查所有暴露API,包括账户恢复、登录和用户查找端点。使用API发现工具识别未文档化或影子API
- 强化错误响应:标准化并清理错误消息,避免泄露账户存在信息
- 监控行为而非仅流量:超越速率限制。使用行为监控检测异常模式(如重复访问特定端点或不一致会话活动)
- 实施实时滥用预防:部署Wallarm等使用ML基于意图和上下文(而非仅流量或头部)检测和阻止自动化攻击的工具
- 频繁更新模型:在威胁模型和风险评估中反映新滥用方法。随攻击者策略进化而升级防御
- 限制数据暴露:审查API返回数据并执行最小权限原则。避免过度暴露
- 强化访问控制:对敏感操作强制认证和授权。确保密码重置等端点无法匿名访问
最终,结合智能设计、实时防护和持续监控将帮助API从脆弱目标转化为强化资产。
开放API需要智能防御
API设计初衷是开放可访问。不幸的是,这种开放性带来风险。TikTok和Instagram凭证检查器活动展示攻击者如何悄然利用API验证被盗数据且不触发警报。
这并非传统意义上的数据泄露,而是冷静计算的滥用行为——将有用功能转化为开发工具。若未主动监控API使用方式(而不仅是使用频率),就会错过滥用早期迹象。在当今日益险恶的威胁环境中,早期检测至关重要。