Escape团队分析了财富1000强和CAC 40公司域名，发现了30,784个暴露的API，并识别出超过100,000个API漏洞，其中1,834个被评为高度严重。这些漏洞主要与身份验证失败和配置错误相关。Escape公司首席执行官Tristan Kalos指出：“API安全的规模化已成为企业面临的根本性挑战。随着API的广泛应用，企业的安全措施往往滞后，导致大量敏感数据暴露。”

其中，暴露的API还包括3,945个开发API，这些API通常没有采取足够的安全防护措施。作为开发过程中的一部分，这些API往往承担着测试、调试等重要职能，但却常常暴露在公共互联网上，成为攻击者的入口。报告指出，六家企业暴露了超过100个开发API，其中五家来自财富1000强公司。

除了暴露的API数量令人担忧外，报告还揭示了另一个重要问题——敏感数据的泄露。调查发现，共有1,816个敏感信息（如API密钥、身份验证令牌和数据库凭证）被暴露。这些数据如果被攻击者利用，将直接威胁企业的核心系统安全。

报告还对漏洞类型进行了详细分析，重点关注了以下几种严重安全风险：

身份验证失败（Broken Authentication）：API2:2023漏洞是最常见的身份验证漏洞，报告中记录了381个实例。攻击者利用这些漏洞可以绕过身份验证机制，获取未授权的访问权限。

安全配置错误（Security Misconfigurations）：报告还发现746个API存在配置错误实例，这类问题通常是由于缺乏适当的访问控制、暴露了关键端点或错误配置了API权限，导致企业的敏感数据和系统暴露在外。

这些漏洞与一些高风险的CVE（公共漏洞和暴露）相关，例如CVE-2024-5535和CVE-2021-3711，显示了企业在解决已知漏洞方面的长久困扰。

报告中的几个真实案例突显了API暴露带来的重大风险，进一步验证了加强API安全的迫切性。以下是一些近年来发生的典型安全事件：

Trello：2024年1月，由于API配置错误，Trello暴露了超过1500万个用户记录。攻击者可能利用这一漏洞获取用户信息，并进行后续攻击。

Dell：2024年5月，Dell因一个未加固的API端点导致4900万客户记录被泄露。泄露的内容包括个人信息、订单记录等敏感数据，给企业和用户带来了巨大的风险。

Twilio的Authy服务：Twilio的Authy服务在2024年发现一个API漏洞，攻击者通过该漏洞访问了认证数据，影响了数百万用户的安全。

为了应对API安全风险，报告提出了若干应对措施，旨在帮助企业减少API暴露和漏洞带来的潜在威胁：

全面审计API：企业应对所有API进行全面审计，特别是影子API和遗留API，确保每个API端点都已记录在案并受到监控。

增强开发API的安全性：开发API的安全性往往被忽视，但它们承载着大量敏感数据，因此应当实施与生产环境API同等的安全措施，包括身份验证、权限控制和数据加密等。

引入API发现工具：企业应采用自动化API发现和监控工具，持续扫描API环境中的潜在漏洞和配置错误，确保及时发现并修复问题。

加强安全培训：许多API安全问题源于开发和运维人员的疏忽或不当配置。企业应定期对员工进行API安全培训，确保他们了解最佳的安全实践，从而在开发阶段就避免常见的安全漏洞。

合作与信息共享：特别是在金融、医疗等高风险行业，企业应加强与行业内其他组织的安全合作与信息共享。通过共享API安全的最佳实践和威胁情报，共同提高防护能力。

《API暴露现状报告2024》清晰地传递了一个信号：随着API的广泛应用和数字化转型的加速，API暴露的安全风险正在急剧上升。企业不能再依赖传统的反应性安全措施，而应转向更为主动的策略，利用自动化工具、AI技术和实时监控手段，确保API在整个生命周期内的安全性。

企业领导者和IT安全团队必须意识到，API是数字化生态系统中的核心组成部分，其安全性直接关系到企业的整体安全和品牌声誉。只有通过全面的API安全管理和持续的防护措施，企业才能有效应对不断演化的威胁，保护客户和企业免受数据泄露和系统入侵的威胁。

API安全的挑战不仅仅是技术问题，更是企业数字化转型过程中的战略问题。对于财富1000强企业来说，加强API安全已不容忽视，它是保障业务连续性、维护客户信任和提升企业竞争力的关键所在。

文章参考：

https://securityonline.info/fortune-1000s-hidden-threat-30000-exposed-apis-and-100000-api-vulnerabilities-unveiled/