攻击者滥用TikTok和Instagram API — API安全威胁深度解析

本文详细分析了攻击者如何通过滥用TikTok和Instagram的未公开API端点进行自动化凭证验证,探讨了API滥用的技术细节、攻击手法及防御策略,并介绍了行为检测和机器学习在API安全防护中的应用。

攻击者滥用TikTok和Instagram API

2025年5月22日 · 3分钟阅读

这一定是API安全事件频发的季节。紧随一名开发者泄露特斯拉和SpaceX私有LLM的API密钥之后,研究人员现在发现了一套通过滥用未公开的TikTok和Instagram API来验证账户信息的工具。

这些工具及其假设的利用涉及恶意Python包—checker-SaGaF、stein lurks和inner core—已上传至PyPI。这些包自动化了验证被盗电子邮件、用户名或密码是否与活跃账户关联的过程。在本文中,我们将探讨此事件的细节,以及Wallarm如何帮助防止类似的API滥用。

发生了什么:API被转变为侦察工具

每个包都针对官方应用用于账户恢复、登录检查和注册流程的合法且大部分未公开的API端点。通过利用这些API端点,这些工具确认给定的电子邮件、用户名或密码是否与有效账户绑定,而不会触发警报。

例如:

  • TikTok的内部密码重置API被用于发送虚假密码恢复请求。如果API返回“发送成功”响应,攻击者就知道该电子邮件与真实账户关联。
  • Instagram的登录API被使用虚拟凭证探测。如果错误响应指示密码错误,但未提及用户无效,则确认用户名存在。
  • 额外的Instagram端点被用于检查注册期间的电子邮件可用性、触发密码重置或查询用户查找API。这些端点本不应公开访问,但由于可通过互联网访问,它们成为了滥用的目标。

这本身并不是一次妥协。它是一个支持自动化和可扩展侦察的工具集,利用这些平台自己的API来完成繁重的工作。

风险:为什么验证很重要

通过链式使用这些工具中的验证测试,攻击者可以构建经过验证的活跃TikTok和Instagram账户列表。通过验证凭证,恶意行为者显著提高了其转售价值,并为未来的攻击(如凭证填充或网络钓鱼)提供了可靠的基础。

一些工具和测试轮换用户代理、伪造设备细节并随机化请求以避免速率限制和检测。这意味着凭证不会被添加到像Have I Been Pwned这样跟踪暴露凭证的平台,显示出超越基本机器人活动的复杂程度。

更重要的是,由于密码重用仍然猖獗,在Instagram或TikTok等平台上测试凭证允许攻击者识别哪些可能在其他地方(如电子邮件、在线银行或电子商务账户)有效。本质上,攻击者将这些合法API转变为侦察工具,帮助他们映射可利用的身份。

恶意自动化,伪装为正常行为

这些凭证检查器是恶意自动化如何利用合法应用逃避检测的示例。例如,steinlurks使用多个功能针对Instagram,循环使用不同的端点、轮换会话ID并伪造设备细节以避免检测。

这不仅仅是API滥用;它是隐秘、自适应的自动化,旨在与真实用户流量混合并逃避传统防御的检测。

检测API滥用:为什么行为很重要

因为这些请求类似于合法应用请求,传统的防御措施如IP阻塞、速率限制或静态机器人检测不足。组织需要行为检测,监控API随时间的使用方式,而不是查看单个请求。虽然这些测试工具可能发送精心 crafted 以看起来有效的请求,但它们不会在整个会话中复制应用的行为。

这就是Wallarm的API滥用预防能力发挥作用的地方。我们结合机器学习(ML)和统计分析来检测滥用迹象,包括:

  • 异常请求速率或模式
  • 会话和IP轮换行为
  • 低端点多样性,指示机器人重复命中特定功能
  • 异常认证活动
  • 基于意图的信号,如在没有先前登录尝试的情况下启动恢复流程

Wallarm的检测器为应用行为的特定方面随时间建立基线,然后识别异常会话。检测器的组合指向特定的恶意行为,如账户接管尝试。当平台检测到可疑活动时,它会自动阻塞或限制来源,最小化滥用风险。

安全领导者应该做什么

为了保护免受像凭证验证活动这样的复杂API滥用,安全领导者应采取以下步骤:

  • 审计API端点:定期审查所有暴露的API,包括账户恢复、登录和用户查找端点。使用API发现工具识别未公开或影子API。
  • 强化错误响应:标准化和清理错误消息,避免揭示账户是否存在。
  • 监控行为,不仅仅是流量:超越速率限制。使用行为监控检测异常模式,如重复访问特定端点或不一致的会话活动。
  • 使用实时滥用预防:部署像Wallarm这样的工具,使用ML基于意图和上下文检测和阻止自动化攻击,而不仅仅是流量或头部。
  • 频繁更新模型:在威胁模型和风险评估中反映新的滥用方法。随着攻击者战术的演变,进化您的防御。
  • 限制数据暴露:审查您的API返回的数据并执行最小权限原则。不要暴露超过您需要的内容。
  • 安全访问控制:对敏感操作强制执行认证和授权。确保像密码重置这样的端点不能匿名访问。

最终,结合智能设计、实时保护和持续监控将帮助将您的API从软目标转变为强化资产。

开放API需要智能防御

API被设计为开放和可访问。不幸的是,这种开放性创造了风险。TikTok和Instagram凭证检查器活动显示攻击者如何 quietly 利用API验证被盗数据而从未触发警报。

这不是传统意义上的漏洞。它是一种安静、计算好的滥用,将有用功能转变为利用工具。如果您没有 actively 监控您的API如何使用,而不仅仅是使用频率,您正在错过滥用的早期迹象。在当今日益 treacherous 的威胁环境中,早期检测就是一切。想了解更多关于Wallarm如何帮助保护您的组织免受 evolving API滥用的信息?安排一个演示。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次