我们能从Coursera的API故事中学到什么？- balasys.eu

新冠肺炎的爆发促使多个领域需要迅速采取行动。在紧急情况初期，首要目标是保护公众健康并尽可能减少伤害，尽管次要影响可能难以预测。为了满足远程学习的需求，并支持经济运行所需的远程工作能力，现有的信息技术系统需要在短时间内进行大规模调整，同时还需引入新的软件。然而，这一过程中，系统和用户面临的网络安全风险也显著增加。

数字教育平台的关键特性

根据数字教育的经验，选择合适的平台需要满足以下几个关键特性：

• 符合GDPR等欧洲数据保护要求：确保数据处理符合法规，保护用户隐私。
• 特殊保护儿童个人数据：对未成年用户的数据提供额外的安全保障。
• 隐私增强技术：包括数据加密、匿名化等技术以提升隐私保护。
• 事件管理支持：能够有效应对平台被滥用的情况。
• 快速修复漏洞：开发人员需及时修补系统中检测到的安全漏洞。
• 支持机构身份和访问管理：确保用户身份验证和权限管理的安全性。

Coursera的API安全问题案例

作为全球最大的远程学习平台之一，Coursera在API安全性方面曾暴露出问题。根据Checkmarx安全研究团队在2021年7月发布的报告（报告链接），他们对Coursera漏洞披露计划中的API进行了深入分析，发现了以下主要问题：

• 通过密码重置功能枚举用户/账户：攻击者可利用此功能获取用户信息。
• GraphQL和REST API缺乏资源限制：导致系统易受滥用。
• GraphQL配置错误：进一步增加了安全风险。

这些漏洞使得研究人员能够检索并修改用户偏好。值得庆幸的是，Coursera与Checkmarx合作，在漏洞公告发布前完成了修复。

从Coursera案例中吸取的教训

Coursera的案例再次提醒我们，API安全性至关重要。以下是从中总结的两点重要教训：

1. 个人数据无处不在

现代数字服务离不开数据的支持。即使是看似无关紧要的数据，也可能通过组合构建出用户画像，从而成为需要保护的个人数据。因此，企业应密切关注所收集、传输和处理的所有数据，确保其安全性，以避免未来可能出现的隐患。

2. 启动漏洞赏金计划

Coursera的漏洞赏金计划为其API安全性提供了重要保障。然而，这种做法在数字服务提供商中仍不普遍。我们强烈建议企业启动漏洞赏金计划，或加入现有的漏洞披露平台。通过激励网络安全专家在受监管的框架内发现并报告漏洞，可以有效减少网络犯罪分子利用API漏洞窃取信息的风险。

总结

Coursera的数字化转型过程中，安全性必须被放在首位。企业不仅需要严格保护用户数据，还需通过漏洞赏金计划等方式主动发现并修复潜在的安全隐患。只有这样，才能在提供高质量数字服务的同时，保障用户的隐私和安全。

原文链接: https://balasys.eu/blogs/what-can-we-learn-from-the-coursera-api-story