攻击者滥用TikTok与Instagram API:API安全威胁深度解析

本文详细分析了攻击者如何通过滥用TikTok和Instagram的未公开API端点进行自动化凭证验证,探讨了API滥用的技术细节、潜在风险及防御策略,包括行为检测和实时防护方案。

攻击者滥用TikTok和Instagram API

这似乎是API安全事件频发的季节。紧随一名开发者泄露Tesla和SpaceX私有LLM的API密钥之后,研究人员又发现了一套通过滥用未公开的TikTok和Instagram API来验证账户信息的工具集。

这些工具及其利用涉及恶意Python包——checker-SaGaF、stein lurks和inner core——被上传至PyPI。这些包自动化了验证被盗邮箱、用户名或密码是否关联有效账户的过程。本文将深入探讨此事件的细节,并说明Wallarm如何帮助防护类似的API滥用行为。

事件经过:API被转为侦察工具

每个恶意包都针对官方应用使用的合法但大多未公开的API端点,这些端点用于账户恢复、登录检查和注册流程。通过利用这些API端点,工具能在不触发警报的情况下确认给定邮箱、用户名或密码是否关联有效账户。

例如:

  • TikTok的内部密码重置API被用于发送虚假密码恢复请求。如果API返回“发送成功”响应,攻击者便知该邮箱关联真实账户。
  • Instagram的登录API被用虚拟凭证探测。如果错误响应提示密码错误但未提及用户无效,则确认用户名存在。
  • 其他Instagram端点被用于检查注册时的邮箱可用性、触发密码重置或查询用户查找API。这些端点本不应公开访问,但由于可通过互联网访问,成了滥用的目标。

这本身并非入侵,而是一个工具集,支持利用这些平台自有API进行自动化、可扩展的侦察。

风险所在:验证的重要性

通过链式使用这些工具中的验证测试,攻击者可构建经过验证的活跃TikTok和Instagram账户列表。验证凭证后,恶意行为者显著提高了其转售价值,并为未来攻击(如凭证填充或钓鱼)提供了可靠基础。

部分工具和测试会轮换用户代理、伪造设备详情并随机化请求,以避开速率限制和检测。这意味着凭证不会被添加到如Have I Been Pwned等跟踪暴露凭证的平台,显示出超越基本机器人活动的复杂程度。

此外,由于密码重用仍普遍存在,在Instagram或TikTok等平台上测试凭证,使攻击者能识别哪些凭证可能在其他地方(如邮箱、在线银行或电商账户)有效。本质上,攻击者将这些合法API转为侦察工具,助其映射可开发身份。

恶意自动化:伪装为正常行为

这些凭证检查器展示了恶意自动化如何利用合法应用逃避检测。例如,steinlurks使用多个功能针对Instagram,循环访问不同端点、轮换会话ID并伪造设备详情以避开检测。

这不仅是API滥用;更是隐秘、自适应的自动化,旨在混入真实用户流量并规避传统防御。

检测API滥用:行为的重要性

由于这些请求类似合法应用请求,传统防御如IP封锁、速率限制或静态机器人检测不足。组织需要行为检测,监控API随时间的使用方式,而非仅看单个请求。这些测试工具可能发送精心构造以看似有效的请求,但不会复制整个会话中的应用行为。

这正是Wallarm的API滥用防护能力发挥作用之处。我们结合机器学习(ML)和统计分析来检测滥用迹象,包括:

  • 异常请求速率或模式
  • 会话和IP轮换行为
  • 低端点多样性,表明机器人重复访问特定功能
  • 异常认证活动
  • 基于意图的信号,如无先前登录尝试即启动恢复流程

Wallarm的检测器随时间建立应用行为特定方面的基线,然后识别异常会话。检测器组合指向特定恶意行为,如账户接管尝试。当平台检测到可疑活动时,会自动封锁或限制来源,最小化滥用风险。

安全领导者应采取的措施

为防护如凭证验证活动等复杂API滥用,安全领导者应执行以下步骤:

  • 审计API端点:定期审查所有暴露API,包括账户恢复、登录和用户查找端点。使用API发现工具识别未公开或影子API。
  • 强化错误响应:标准化并清理错误消息,避免透露账户是否存在。
  • 监控行为,而非仅流量:超越速率限制。使用行为监控检测异常模式,如重复访问特定端点或不一致会话活动。
  • 使用实时滥用防护:部署如Wallarm等工具,利用ML基于意图和上下文检测并封锁自动化攻击,而非仅依赖流量或头部。
  • 频繁更新模型:在威胁模型和风险评估中反映新滥用方法。随攻击者战术演变而进化防御。
  • 限制数据暴露:审查API返回数据并执行最小权限原则。不暴露超出必要的信息。
  • 安全访问控制:对敏感操作强制执行认证和授权。确保如密码重置等端点无法匿名访问。

最终,结合智能设计、实时防护和持续监控,将助您将API从软目标转为硬化资产。

开放API需要智能防御

API设计为开放和可访问。不幸的是,这种开放性带来风险。TikTok和Instagram凭证检查器活动展示了攻击者如何静默利用API验证被盗数据而从不触发警报。

这并非传统意义上的漏洞。而是一种静默、有计划的滥用,将有用功能转为开发工具。如果您未主动监控API如何使用(而非仅使用频率),便会错过滥用的早期迹象。在当今日益险恶的威胁环境中,早期检测至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次