2018年6月

郑州口腔医院原职工马某利用权限账户登录内部系统，违法获取个人信息1258条，涉及口腔患者姓名、电话、手机号码、个人详细居住地址、就诊类型等医疗信息，通知患者前往新就职医院就诊。

2020年4月

青岛胶州某医院出现患者信息泄露6000+条，涉及患者姓名、电话、手机号码、个人详细居住地址、就诊类型等医疗信息。

2022年10月

哈尔滨某医疗机构公众号系统漏洞遭利用，被窃取10万余条公民个人信息涉及姓名、联系电话、家庭住址等个人信息。

2022年12月，蔚来汽车在官方社区发布公告称，确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取，并被黑客发送邮件勒索225万美元。

2023年1月

跨国移动电话运营商T - Mobile被爆正在积极调查可能影响3700万用户账户的数据泄露事件。此次事件中泄漏的基本客户信息包括姓名、账单地址、电子邮件和电话号码等数据，而黑客是通过一个应用程序编程接口(API)未经授权获取到了这些数据。这不是T - Mobile的首次因API安全漏洞而导致的安全事件，自2018年以来，T - Mobile已连续发生8起因存在API安全漏洞而导致的信息泄露事件。这显示出该企业在API安全管理方面存在严重的漏洞和疏忽，大量用户的隐私信息就像放在没有保险柜的房间里，轻易被他人获取。

2023年3月

某公司公众号出现逻辑漏洞，涉及全国207家三甲医院，涉及4000万病人数据。

2023年3月下旬

ChatGPT宣布遭遇数据泄露。在3月20日前，部分用户可以看到其他人聊天记录的片段，以及其他用户信用卡的最后四位数字、到期日期、姓名、电子邮件地址和付款地址等信息。最初该问题仅影响个别用户，但由于OpenAI在对服务器进行更改时再度出现失误，导致问题进一步加剧，受影响的用户扩大至1.2%的比例。OpenAI事后分析表示，该漏洞是在Redis客户软件的开源库Redis - py中发现的，攻击者通过这个漏洞将恶意代码发送到Redis数据库，从而导致数据泄露。这起事件表明，即使是像ChatGPT这样备受关注的大型语言模型也难以避免API安全风险，当API的某个环节出现漏洞时，用户的隐私和数据安全就岌岌可危。

2023年6月

大学生学习软件“超星学习通”的数据库信息被公开售卖，超1.7亿条信息疑遭泄露。

2023年8月

上海随申码遭受黑客攻击，4850 万用户的上海随申码数据，其中包含身份证、姓名及手机号、随申码颜色、UUID等多项信息。

2023年年初

在汽车领域发生了一起严重的API安全事件。网络安全研究员Sam Curry及其领导的研究团队，在数十家全球顶级汽车制造商生产的车辆和车联网服务中，发现了众多API应用缺陷。这些被研究的汽车品牌包括奔驰、宝马、劳斯莱斯、法拉利、保时捷、捷豹、路虎、本田、英菲尼迪、日产、讴歌、丰田、福特等20多个知名品牌。此外如Reviver、SiriusXM和Spireon等主流车联网服务商的应用方案中，同样存在大量严重的API安全缺陷。这意味着攻击者可能利用这些漏洞，获取汽车的各种信息，比如解锁、启动和跟踪汽车，甚至还能获取车主的个人信息，给车主的安全和隐私带来极大的威胁，车主如同在公路上裸奔一样缺乏安全感。

2023年年初

安全研究人员伊顿·兹维尔(Eaton Zveare)发现了本田电动商务平台开放的应用程序接口存在安全漏洞和数据泄露问题。他在三月中旬通知了本田公司，声称他能够利用安全性较差的应用程序接口(API)闯进丰田GSPIMS系统，并且可以完全访问丰田内部项目、文档和用户帐户，包括丰田外部合作伙伴/供应商的用户帐户。这个问题涉及到超过14,000名用户和机密信息，如果攻击者利用漏洞加上他们自己的账户，就能够长期获取丰田的数据，严重影响公司的全球运营。这起事件再次凸显了API安全漏洞可能给企业带来巨大的损害，不仅是数据泄露的风险，还可能影响到整个企业的业务链和运营体系。

2023年

强生医疗健康系统公司(Janssen)在2023年通知其CarePath客户称他们的敏感信息遭到泄露。该公司发现存在一种未授权便可访问CarePath数据库的漏洞，攻击者可以通过此漏洞在未经授权的情况下访问CarePath用户姓名、联系信息、出生日期、健康保险信息、用药信息、医疗状况信息等详细信息，此次数据泄露事件影响了2023年7月2日之前注册强生公司在线服务的CarePath用户，这可能表明数据泄露发生在当天，或者泄露的是数据库备份。这对于医疗健康公司来说，患者的隐私信息保护至关重要，而API安全漏洞让大量患者敏感信息面临风险，严重损害了患者的信任和企业的声誉。

2023年12月

据央视新闻报道，一求职招聘类App短信验证码接口遭遇了1300多万次的攻击。警方调查后发现2名嫌犯利用网站漏洞制作黑客软件并实施撞库攻击，从而获取了大量个人信息和公司账号数据在境外出售。短信验证码接口通常是APP的API之一，这一事件说明API的安全性不足容易被攻击，一旦被攻击就可能导致海量的用户和企业账号信息泄露，用户和企业会面临诈骗、隐私侵犯等多种风险。

2023年12月

美国基因测试公司宣称黑客利用客户的旧密码，通过撞库攻击成功获取了大约690万份用户档案的个人信息，部分被窃档案信息包括家族谱系、出生年份和地理位置等，并对外以1 - 10美元单个账号进行售卖，其中包含了约100万犹太裔和30万华裔的样例用户数据。这一事件表明，该公司的API在身份验证等方面存在严重的安全风险，导致客户的基因数据和个人信息被泄露，不可预估的风险。

互联网行业

社交平台类

某知名社交平台 API 数据泄露事件：该平台的 API 存在安全漏洞，导致部分用户的个人信息、好友列表、聊天记录等数据被泄露。黑客通过利用 API 的授权机制缺陷，获取了大量用户数据，并在暗网售卖，给用户的隐私和安全带来了严重威胁，同时也对平台的声誉造成了极大的损害。

某社交平台 API 被恶意利用进行虚假推广事件：不法分子利用该社交平台的 API，通过伪造请求和批量注册账号等方式，大规模发布虚假广告和垃圾信息。这不仅影响了平台的正常使用体验，还可能导致用户误点广告而遭受诈骗等风险，平台的商业信誉也受到了负面影响。

电商平台类

某知名电商平台因为 API 接口存在安全漏洞事件：被黑客利用，导致大量用户的个人信息和交易数据被泄露。黑客通过伪造请求、利用漏洞等方式，获取未授权的访问权限，从而对 API 接口进行非法操作，窃取用户数据，给用户带来隐私泄露和财产损失风险，同时也影响了平台的信誉和业务CSDN博客。

某电商平台 API 被爬虫攻击事件：一些不法分子利用爬虫技术通过该平台的 API 大量抓取商品信息、价格数据和用户评价等内容，用于自己的商业竞争或非法售卖，给平台的正常运营和数据安全带来了严重影响，也侵犯了平台和商家的合法权益。

视频平台类

某视频平台 API 数据泄露事件：平台与第三方广告商之间 API 接口的权限设置漏洞，导致部分用户的观看记录、收藏列表、会员权益等数据被泄露，用于精准广告推送和商业营销，给用户带来隐私泄露和骚扰风险CSDN博客。

某视频平台 API 被恶意调用刷流量事件：一些不法分子通过破解该视频平台的 API，利用自动化程序恶意调用接口，刷高视频的播放量、点赞数和评论数等数据，破坏了平台的公平竞争环境，影响了平台的内容推荐算法和正常运营秩序。

云服务平台类

微软 Azure OpenAI API 被盗用及滥用事件：微软对 10 名盗用 API 密钥以及滥用 Azure OpenAI API 服务的违规者提起诉讼。这些被告经营着 OpenAI 服务租用网站，使用盗取的 API 连接微软进行无本买卖，生成违反服务条款的内容，还开发名为 De3u 的客户端工具来处理和路由流量新浪网。

某云服务平台 API 被恶意攻击导致服务瘫痪事件：黑客通过对该云服务平台的 API 发起 DDoS 攻击，导致平台的服务瘫痪，大量用户的业务受到影响，数据无法及时存储和访问，给用户带来了巨大的经济损失和业务风险，平台也面临着严重的声誉危机和法律责任。

在线办公平台类

某在线办公平台 API 漏洞致企业文档泄露事件：该平台的 API 存在安全漏洞，导致部分企业用户的文档、表格、演示文稿等重要办公文件被泄露。黑客利用漏洞获取了企业用户的文件访问权限，可能导致企业的商业机密、客户信息等泄露，给企业带来严重的经济损失和法律风险。

某在线办公平台 API 被恶意利用发送垃圾邮件事件：不法分子利用该平台的 API，通过伪造邮件发送请求，利用平台的邮件服务功能发送大量垃圾邮件。这不仅影响了平台用户的正常办公体验，还可能导致平台的邮件服务被封禁，给平台的信誉和业务带来负面影响。

金融行业

银行类

某银行 API 数据泄露事件：该银行的 API 存在安全漏洞，导致部分客户的姓名、身份证号、银行卡号、交易记录等敏感信息被泄露。黑客通过利用 API 的授权认证缺陷，绕过安全防护机制，非法获取了客户数据，给客户带来了隐私泄露和财产安全风险，银行也面临着声誉受损和法律责任搜狐网。

某银行 API 接口被恶意调用套现事件：不法分子利用该银行与第三方支付平台之间 API 接口的漏洞，通过伪造交易请求和篡改交易数据，绕过银行的风控系统，进行信用卡套现和盗刷等违法行为。大量信用卡用户的资金安全受到威胁，银行遭受了经济损失和信誉危机。

证券类

某证券公司 API 未授权访问漏洞事件：2021 年 12 月，国内某证券公司的 API 被发现存在未授权访问漏洞，黑客利用该漏洞可以获取客户的姓名、账号、持仓信息等批量敏感数据，可能进一步用于非法交易和欺诈活动，给客户带来巨大的财产损失风险，严重影响了证券公司的声誉和正常运营搜狐网。

某证券交易平台 API 漏洞致交易异常事件：API 接口的参数校验不严格，被黑客利用篡改交易指令，导致部分用户在进行交易时出现交易信息错误、重复下单、无法及时撤单等异常情况，给用户带来经济损失和交易风险，影响证券市场正常秩序。

支付类

某支付平台 API 被恶意调用事件：不法分子恶意调用 API，伪造交易请求，绕过平台的风控系统，进行虚假支付和盗刷用户银行卡等行为，大量用户资金安全受威胁，引发用户对支付平台安全性的质疑，给平台信誉带来严重影响。

防支付接口被恶意挪用案例：部分支付机构存在套码、降低接入费用、四方转售接口、开展非法业务、支付机构之间接口互接等现象，黑产利用 bots 自动化工具攻击，传统安全和风控产品无力应对，而瑞数 API 安全管控平台通过多种技术手段，对保险 app 的 api 资产进行梳理和监控，发现了大量异常信息请求并识别出攻击手段。

保险类

某保险公司 API 数据泄露事件：保险公司的 API 接口存在安全隐患，导致部分客户的保单信息、理赔记录、联系方式等数据被泄露。可能被不法分子用于保险欺诈、精准营销和骚扰等活动，给客户带来诸多困扰和安全风险，损害了保险公司的声誉和客户信任。

某保险平台 API 被恶意攻击导致服务中断事件：黑客对该保险平台的 API 发起 DDoS 攻击，导致平台的服务瘫痪，客户无法正常登录和办理保险业务，如投保、理赔、查询等。这不仅影响了客户的体验和业务办理效率，还可能导致客户错过保险期限或无法及时获得理赔，给保险公司带来经济损失和声誉损害。

信贷类

某网贷平台 API 暴力破解事件：平台的 API 登录接口存在安全漏洞，被黑客通过暴力破解获取大量用户账号密码，黑客登录用户账户篡改借款额度、提现银行卡信息等，导致部分用户遭受经济损失，平台面临大量用户投诉和信任危机。

用户信息泄露类

多家金融借贷平台 API 遭受攻击致用户手机号泄露事件：多起针对金融借贷平台 API 接口的攻击，黑产团伙通过批量攻击平台 API 接口，利用注册接口、登录接口和密码找回接口本身的业务逻辑，结合大量的秒拨或代理 IP，伪装成正常用户请求对 API 接口进行攻击，获取了平台大量注册用户的手机号。黑产将获取到的用户信息在暗网或地下黑市出售，可能导致用户遭受频繁的电话骚扰甚至精准的电话诈骗，给用户带来财产损失，同时金融平台也因泄漏客户数据面临用户投诉、法律处分或监管惩罚，经济和品牌声誉均受损。

某互联网金融理财平台 API 数据泄露事件：该平台的 API 存在安全漏洞，导致部分用户的姓名、身份证号、银行卡号、投资记录等敏感信息被泄露。黑客通过利用 API 的授权认证缺陷，绕过安全防护机制，非法获取了用户数据，给用户带来了隐私泄露和财产安全风险，平台也面临着声誉受损和法律责任。

交易风险类

某互联网金融支付平台 API 被恶意调用套现事件：不法分子利用该支付平台与第三方机构之间 API 接口的漏洞，通过伪造交易请求和篡改交易数据，绕过平台的风控系统，进行信用卡套现和盗刷等违法行为，大量用户的资金安全受到威胁，平台遭受了经济损失和信誉危机。

某互联网金融交易平台 API 漏洞致交易异常事件：API 接口的参数校验不严格，被黑客利用篡改交易指令，导致部分用户在进行交易时出现交易信息错误、重复下单、无法及时撤单等异常情况，给用户带来经济损失和交易风险，影响金融市场正常秩序。

恶意攻击与服务中断类

某互联网金融平台 API 遭 DDoS 攻击致服务瘫痪事件：黑客对该平台的 API 发起 DDoS 攻击，导致平台的服务瘫痪，用户无法正常登录和办理金融业务，如转账汇款、投资理财、贷款申请等。这不仅影响了用户的体验和业务办理效率，还可能导致用户错过投资机会或无法及时获得贷款，给平台带来经济损失和声誉损害。

某互联网金融借贷平台 API 被恶意篡改利率事件：黑客攻击该平台 API，篡改了部分贷款产品的利率信息，导致用户在申请贷款时看到的利率与实际利率不符。一些用户在不知情的情况下签订了贷款合同，后期还款时才发现利率异常，给用户带来了经济损失，同时也引发了大量用户投诉，对平台的信誉造成了严重影响。

第三方合作风险类

某互联网金融平台与第三方数据公司 API 合作数据泄露事件：该平台在与第三方数据公司进行数据交互时，由于 API 接口的安全防护不足，导致部分用户数据在传输过程中被泄露。第三方数据公司可能因自身安全措施不到位，被黑客攻击后，通过 API 接口获取了互联网金融平台的用户数据，给用户带来安全隐患，平台也因此面临法律风险和声誉危机。

某互联网金融公司 API 被第三方合作伙伴滥用事件：该互联网金融公司与一家第三方支付公司合作，为用户提供支付服务。然而，第三方支付公司在未经授权的情况下，滥用 API 接口，获取了用户的支付信息和交易记录，并将其用于其他商业目的，给用户带来了隐私泄露风险和潜在的财产安全威胁，同时也损害了互联网金融公司的声誉和与用户之间的信任关系。

游戏行业

某大型游戏公司 API 数据泄露事件：公司的 API 存在安全漏洞，导致部分用户的账号密码、游戏角色信息、充值记录等数据被泄露，黑客在网络上售卖，一些用户游戏账号被盗用，虚拟财产被窃取，给用户带来经济损失和游戏体验的破坏。

某游戏平台 API 被外挂攻击事件：游戏平台的 API 被外挂开发者破解，通过调用 API 实现自动挂机、刷金币、透视等作弊功能，破坏游戏公平性，影响正常玩家游戏体验，给游戏平台带来经济损失和声誉损害。

医疗行业

数据泄露与恶意利用类

患者数据被恶意利用事件：不法分子入侵医疗保险公司或医疗机构的 API 获取患者病历和诊断信息，进行保险欺诈或在暗网交易患者数据，给患者隐私和财产安全带来威胁，也使医疗机构面临法律风险和声誉损害。

数据泄露事件：软件开发厂商在软件开发过程中未采用适当防护机制或未对敏感信息加密，导致攻击者通过 API 抓取患者个人信息和病程手术记录等敏感数据。

性能与服务类

API 响应缓慢导致医疗服务延误事件：医疗机构业务系统 API 性能不佳，在业务高峰期响应时间过长或超时，影响患者就医体验，甚至延误治疗时机。

API 故障导致医疗设备失控事件：部分医疗设备通过 API 与医院信息系统连接，API 故障会导致设备无法正常接收或执行操作指令，对患者生命安全造成直接威胁。

数据共享类

区域医疗数据共享平台 API 安全漏洞事件：区域医疗数据共享平台中不同医疗机构间的数据共享 API 若存在安全漏洞，可能导致患者数据泄露到未授权机构或个人手中。

医疗机构与科研机构数据共享 API 风险事件：医疗机构与科研机构合作研究时，由于双方 API 安全管理标准不一致，可能导致数据在传输和使用过程中出现安全风险，影响科研结果准确性和可靠性，侵犯患者隐私。

恶意篡改类

黑客篡改患者检验结果事件：黑客攻击医院检验信息系统 API 篡改患者检验结果数据，可能导致医生误诊和错误治疗决策，危害患者健康甚至生命。

篡改医疗费用结算数据事件：不法分子利用医院收费系统 API 漏洞篡改医疗费用结算数据，使患者支付额外费用，损害患者经济利益和医院声誉及经济利益。

内部违规类

医护人员违规使用 API 访问患者数据事件：部分医护人员违规访问与工作无关的患者数据，可能导致数据在内部泄露和滥用，引发外部安全事故。

内部技术人员利用 API 窃取数据事件：个别内部技术人员利用 API 窃取患者敏感信息和医院业务数据并出售给外部不法分子，给医院和患者带来巨大损失，损害医院声誉和公信力。

更新维护类

API 更新导致系统兼容性问题事件：医院对业务系统 API 更新后，因未充分进行兼容性测试，导致部分医疗设备或第三方应用程序无法与更新后的 API 正常连接和交互，影响医疗服务正常开展。

API 维护不及时导致安全漏洞扩大事件：API 运行过程中发现安全漏洞，技术人员未及时修复和维护，漏洞可能被黑客利用并扩大攻击范围，导致更多患者数据泄露和系统故障。

第三方合作类

第三方支付平台 API 安全漏洞事件：医院与第三方支付平台合作时，支付平台 API 出现安全漏洞，导致患者支付信息泄露，引发盗刷银行卡、冒用身份等违法活动，给患者带来经济损失，影响医院财务管理。

第三方物流配送平台 API 数据泄露事件：医院与第三方物流配送平台通过 API 交互数据，若物流配送平台 API 存在安全问题，可能导致患者个人信息、药品信息和检验样本信息泄露，影响患者治疗和隐私安全。

恶意软件类

API 被植入木马程序事件：黑客将木马程序植入医院业务系统 API，窃取用户账号密码、患者数据等敏感信息并发送给黑客，感染访问该系统的用户。

恶意软件利用 API 传播事件：恶意软件利用医疗行业 API 的开放性和互联性在不同系统和设备间传播，导致整个医疗网络受到感染，影响医疗服务正常运行和患者数据安全。

教育行业

短信平台 API 被入侵事件

广东省教育厅短信平台遭入侵事件：不法分子入侵广东省教育厅短信平台，以 “广东省教育厅” 名义向师生和家长发送包含非法链接的短信。可能是短信平台 API 被攻击，攻击者捕捉 API 接口流量，通过篡改报文内容进行攻击，也可能是教育厅与移动公司短信服务平台对接的相关系统平台被黑客攻击，或者教育厅工作人员被网络钓鱼，导致终端电脑被植入后门，从而访问教育厅相关的系统平台编辑发送违规内容。

教育软件系统 API 数据泄露事件

PowerSchool 数据泄露事件：美国教育软件提供商 PowerSchool 的客户支持系统、学校信息系统等产品遭到未授权访问，黑客利用 “泄露的凭据” 获取了访问权限，窃取了大量美国各地中小学学生和教师的个人数据，包括数千万学生和老师的姓名、联系方式等敏感信息搜狐网。

在线教育平台 API 安全风险事件

某搜题类 APP 客户信息泄露事件：某搜题类 APP 在登录和验证环节使用了不合法的数据源，使得客户信息被不当缓存，导致数十万用户个人信息泄露，包括姓名、联系方式等敏感信息。随后，不法分子利用这些信息进行电话、短信骚扰，严重侵犯了用户的权益。

学校内部管理系统 API 风险事件

学校成绩管理系统 API 漏洞事件：部分学校的成绩管理系统 API 存在安全漏洞，黑客通过攻击该 API，篡改学生的考试成绩，影响了学校教学秩序和学生的学业评价公正性。

学校一卡通系统 API 安全风险事件：学校一卡通系统的 API 如果被攻击，可能导致学生的一卡通账户信息泄露，如卡号、密码等，黑客可利用这些信息进行盗刷食堂饭卡、图书馆借阅卡等操作，给学生带来经济损失和生活不便。

教育行业第三方合作 API 安全风险事件

教育机构与支付平台 API 安全漏洞事件：教育机构在与第三方支付平台合作进行学费、课程费用等支付结算时，支付平台的 API 出现安全漏洞，导致学生和家长的支付信息泄露，如银行卡号、密码、身份证号等，可能引发盗刷银行卡、冒用身份等违法活动，给学生和家长带来经济损失，同时也影响教育机构的声誉和财务管理。

教育机构与技术服务提供商 API 数据泄露事件：教育机构与外部技术服务提供商合作，如使用其提供的在线教学平台、学习管理系统等，如果这些服务提供商的 API 存在安全问题，可能导致学生和教师的个人信息、教学资源等数据泄露，影响教育教学活动的正常开展和数据安全。

餐饮外卖行业

某外卖平台 API 被恶意刷单事件：平台的 API 被不法分子利用，篡改 API 请求参数，绕过风控机制，实现恶意刷单，大量虚假订单影响平台正常运营秩序和商家信誉，导致平台营销资源浪费，给平台和商家带来经济损失。

某餐饮连锁企业 API 数据泄露事件：企业的 API 存在安全漏洞，导致部分用户的订单信息、联系方式、会员卡号等数据被泄露，被用于精准营销和诈骗活动，给用户带来隐私泄露和财产损失风险。

能源行业

光伏电网高危漏洞事件

Solarman 和 Deye 平台漏洞事件：2024 年，网络安全公司 Bitdefender 披露，Solarman 和 Deye 这两大广泛使用的太阳能管理平台存在重大安全漏洞。Solarman 平台的 API 架构存在账户完全接管、跨平台令牌重用和数据过度暴露等风险；Deye 的逆变器平台存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。攻击者可能会控制逆变器设置，导致全球范围内的停电和电力分配中断，还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息51cto.com。

能源企业数据泄露事件

某能源企业 API 数据泄露事件：某大型能源企业的 API 接口存在安全漏洞，导致大量用户数据泄露，包括用户的姓名、联系方式、用电信息、缴费记录等。这些数据被泄露后，可能被不法分子用于精准营销、诈骗等非法活动，给用户带来了骚扰和经济损失，同时也损害了能源企业的声誉。

能源数据共享平台 API 漏洞事件：能源行业的数据共享平台在与各能源企业进行数据交互时，由于 API 接口的安全防护不足，出现漏洞。黑客通过攻击该平台的 API 接口，获取了大量能源企业的生产数据、运营数据、用户数据等敏感信息，这些数据可能被竞争对手利用，或者被用于恶意攻击能源企业的系统，给整个能源行业的安全和稳定带来威胁。

注入攻击事件

SQL 注入攻击致能源系统故障事件：攻击者通过向能源企业的 API 接口注入恶意 SQL 语句，成功获取了数据库的部分权限。利用这些权限，攻击者篡改了能源生产数据、设备运行参数等关键数据，导致能源系统的业务流程混乱，能源生产和供应受到影响，同时大量的恶意查询请求使数据库服务器不堪重负，最终瘫痪，给能源企业带来了巨大的经济损失和业务影响。

命令注入攻击事件：不法分子通过在能源平台的 API 接口中注入命令代码，获取了服务器的部分控制权，进而篡改能源系统的配置信息、用户权限等，导致能源平台的部分功能无法正常使用，如无法正常查询能源使用情况、进行缴费等，严重影响了用户的使用体验和能源企业的运营效率。

身份验证机制缺陷事件

能源平台弱密码导致 API 入侵事件：某能源平台的 API 接口身份验证机制存在漏洞，允许用户使用简单的弱密码进行登录。攻击者通过暴力破解的方式，轻易获取了部分用户的 API 访问权限，进而窃取用户的个人信息和能源使用数据，进行盗刷等违法活动，同时还可能篡改能源订单信息，导致能源供应中断或错误。

OAuth2.0 授权漏洞事件：能源企业在使用 OAuth2.0 进行第三方应用授权时，存在安全漏洞。攻击者通过伪造授权请求，绕过了平台的身份验证和授权流程，获取了用户在该平台的敏感数据和操作权限，如修改能源使用计划、篡改缴费信息等，给用户带来了直接的经济损失和隐私泄露风险。

第三方合作风险事件

能源企业与气象数据供应商 API 故障事件：能源企业通常会与气象数据供应商合作，以获取准确的气象数据来优化能源生产和分配。然而，气象数据供应商的 API 曾出现故障，导致能源企业无法及时获取准确的气象信息。这使得能源企业在能源调度、发电计划等方面出现失误，如风力发电企业因无法准确获取风速等气象数据，导致发电效率降低，甚至部分设备因错误的调度指令而受损。

能源企业与地图服务提供商数据共享风险事件：能源企业在进行能源设施建设、管道铺设等工作时，需要与地图服务提供商共享地理位置等数据。但由于地图服务提供商的 API 安全漏洞，导致能源企业的设施位置、管道布局等敏感信息泄露。这些信息可能被竞争对手或不法分子获取，用于恶意破坏或商业竞争，给能源企业的设施安全和运营带来潜在风险。

恶意篡改能源交易数据事件

能源交易平台 API 数据篡改事件：在能源交易市场中，黑客通过攻击能源交易平台的 API 接口，篡改交易数据，如修改能源价格、交易电量等。这不仅会导致交易双方的经济损失，还会扰乱能源市场的正常秩序，影响能源的稳定供应和市场的公平性。例如，某黑客通过篡改电力交易平台的 API 数据，使得部分电力供应商以远低于市场价格出售电力，造成了巨大的经济损失。

碳交易市场 API 漏洞事件：随着碳交易市场的发展，一些不法分子利用碳交易平台的 API 漏洞，篡改碳排放数据或交易记录。这可能导致企业的碳排放配额被错误分配或交易，影响企业的碳减排目标和经济效益，同时也破坏了碳交易市场的公信力和正常运行。

物联网设备 API 安全风险事件

智能电表 API 漏洞事件：智能电表作为能源行业物联网的重要组成部分，其 API 存在安全漏洞。黑客可通过攻击智能电表的 API 接口，篡改电表读数，使能源企业无法准确获取用户的实际用电情况，导致电费计量错误，同时还可能获取用户的用电习惯等隐私信息，给用户带来经济损失和隐私泄露风险。

能源物联网监控设备 API 入侵事件：能源企业用于监控能源生产、传输设备的物联网监控设备，如传感器、摄像头等，其 API 接口若被入侵，黑客可获取设备的控制权，篡改监控数据或干扰设备的正常运行。例如，攻击者通过入侵石油管道的物联网监控设备 API，篡改压力、流量等监控数据，使能源企业无法及时发现管道泄漏等安全隐患，可能引发严重的安全事故。

云服务 API 安全风险事件

能源企业云平台 API 数据丢失事件：能源企业将部分业务数据存储在云平台上，并通过 API 接口与云平台进行数据交互。然而，云服务提供商的 API 曾出现故障，导致能源企业的数据丢失或无法正常访问。这使得能源企业的业务运营受到严重影响，如无法及时获取用户信息、能源生产数据等，给能源企业带来了巨大的经济损失和业务风险。

云服务提供商 API 权限管理漏洞事件：云服务提供商的 API 权限管理存在漏洞，使得能源企业的用户账号权限被错误配置。一些不法分子利用这一漏洞，获取了超出其权限范围的访问权限，进而窃取能源企业的敏感数据或篡改业务数据，给能源企业的安全和运营带来严重威胁。

政务服务行业

数据泄露类

浙江某软件科技公司受托搭建数据库致电子政务数据泄露风险事件：浙江台州公安机关发现，浙江某软件科技公司受托搭建的数据库存在安全漏洞，承载的大量电子政务数据存在泄露风险。该公司未依法建立全流程数据安全管理制度，未对受托维护、处理的电子政务数据履行应尽的安全保护义务环球网。

内鬼窃取公民数据事件：2024 年，内江警方通报一起黑客攻击各地政企网站窃取公民数据的典型案例。犯罪团伙成员多为网络安全公司、银行的高管等，他们监守自盗，利用自身技术与资源，秘密扫描各地政企网站漏洞，编写黑客程序越权获取公民个人信息 2.08 亿条，并在境外网站上兜售搜狐网。

访问权限失控类

N 市市监局 API 敏感数据管控缺失事件：N 市市监局共有 57 套业务系统，数据治理平台与其他技术服务厂商的 API 接口数约有 85 个，日均访问量高达 2300 万次。但该局对于数据使用与流转过程中的数据安全管控能力较弱，存在敏感数据安全管控能力弱、API 数据资产监管与保护手段缺失、数据溯源审计能力不足等问题，导致涉敏资产越权访问风险大增。

技术漏洞类

Apache ActiveMQ 安全漏洞事件：国家信息安全漏洞库曾收到关于 Apache ActiveMQ 安全漏洞的报送，该漏洞源于程序未对 Jolokia JMX REST API 和 Message REST API 添加身份校验，导致攻击者可能在未经身份验证的情况下使用这些 API 与代理交互，或进行发送消息、接收消息、删除消息队列和主题等操作，而政务服务中若使用了受此漏洞影响的 Apache ActiveMQ 版本，可能导致服务被攻击江门市人民政府。

第三方合作风险类

某政务服务平台与第三方数据共享 API 安全风险事件：某政务服务平台在与第三方数据公司进行数据共享时，由于 API 接口的安全防护不足，导致部分公民的社保、医保等敏感数据在传输过程中被泄露。第三方数据公司可能因自身安全措施不到位，被黑客攻击后，通过 API 接口获取了政务服务平台的用户数据，给公民带来安全隐患，平台也因此面临法律风险和声誉危机。

违规使用数据类

某区政务服务平台 API 数据违规使用事件：某区政务服务平台的部分工作人员，在未经充分授权和审批的情况下，违规使用 API 获取公民的个人信息和企业的商业机密，并将其用于非工作目的，如私自查询他人的房产、车辆等信息并泄露给第三方，给公民和企业的隐私及利益带来严重损害，同时也违反了政务服务的相关规定和法律法规。

某政务服务 APP API 违规收集用户数据事件：该政务服务 APP 在使用过程中，被发现其 API 存在违规收集用户数据的行为。除了收集必要的业务办理信息外，还收集了用户的地理位置、通讯录、短信等与政务服务无关的敏感信息，并且在未获得用户明确同意的情况下将数据传输给第三方合作伙伴，存在数据滥用和隐私泄露风险。

系统故障类

某省人社厅政务服务 API 系统故障事件：该省人社厅的政务服务 API 出现系统故障，导致全省范围内的社保查询、医保报销、就业服务等多项业务无法正常办理。故障原因是 API 接口与后端数据库的连接出现异常，且系统缺乏有效的故障预警和应急处理机制，使得业务中断长达数小时，给广大群众带来了极大的不便，也影响了政府部门的服务形象。

某市行政审批局政务服务 API 系统宕机事件：某市行政审批局的政务服务 API 因遭受网络攻击和服务器硬件故障的双重影响而宕机。大量企业和群众在办理营业执照注册、项目审批、许可证办理等业务时受阻，无法及时提交申请和获取审批结果，导致政务服务效率大幅下降，企业的正常运营和群众的生活受到严重影响。

恶意篡改类

某政务服务平台 API 信息被恶意篡改事件：黑客攻击了某政务服务平台的 API，篡改了平台上发布的部分政策法规、办事指南等重要信息，将错误的信息展示给用户，误导群众办理业务，给群众带来了不必要的麻烦和损失，同时也损害了政府部门的公信力。

某税务系统 API 数据被篡改导致税收异常事件：不法分子通过攻击税务系统的 API，篡改了部分企业的纳税申报数据和税务登记信息，导致企业出现纳税异常，有的企业被误判为偷税漏税，面临税务处罚，而有的企业则享受了不应有的税收优惠，给国家税收造成了损失，扰乱了正常的税收秩序。

供应链攻击类

某政务服务系统第三方软件供应商 API 安全漏洞事件：某政务服务系统使用的一款由第三方软件供应商提供的软件，其 API 存在安全漏洞。黑客利用该漏洞入侵政务服务系统，获取了系统的部分权限，可能导致敏感数据泄露和业务系统瘫痪。由于政务服务系统对第三方软件供应商的安全监管不到位，未能及时发现和修复漏洞，给政务服务带来了安全风险。

某政务云服务提供商 API 故障引发连锁反应事件：某政务云服务提供商的 API 出现故障，导致使用该政务云服务的多个政府部门的业务系统受到影响，包括政务网站无法访问、在线政务服务中断等。由于各政府部门对政务云服务提供商的依赖度过高，且缺乏有效的备份和应急措施，使得故障的影响范围迅速扩大，给政务服务的连续性和稳定性带来了严重挑战。

电商行业

数据泄露事件

某知名电商平台用户数据泄露事件：黑客利用系统漏洞入侵该电商平台的数据库，通过 API 接口获取了大量用户的个人信息，包括姓名、电话号码、地址、身份证号码等敏感信息，以及部分用户的交易记录。这一事件对用户的隐私和财产安全构成了严重威胁，导致许多用户遭受诈骗骚扰，同时也损害了电商平台的声誉和用户信任度CSDN博客。

电商平台与第三方合作数据泄露事件：某电商平台与一家物流合作伙伴进行数据共享时，由于 API 接口的安全防护不足，物流方的系统被黑客攻击后，黑客通过 API 接口获取了电商平台的用户订单数据，包括商品名称、数量、收货地址等信息，这些数据被用于针对性的商业欺诈和垃圾广告推送CSDN博客。

注入攻击事件

SQL 注入攻击致电商平台瘫痪事件：攻击者通过向电商平台的 API 接口注入恶意 SQL 语句，成功获取了数据库的部分权限。利用这些权限，攻击者篡改了商品价格、库存等关键数据，导致平台的商品信息混乱，同时大量的恶意查询请求使数据库服务器不堪重负，最终瘫痪，业务中断长达数小时，给电商平台带来了巨大的经济损失和声誉损害CSDN博客。

跨站脚本攻击事件：不法分子通过在电商平台的 API 接口中注入跨站脚本（XSS）代码，当用户访问受影响的接口时，恶意代码会在用户的浏览器中执行，窃取用户的登录凭证、个人信息等敏感数据，还可能篡改用户的购物车信息、订单信息等，给用户和电商平台都带来了严重的损失。

DDoS 攻击事件

大型促销活动期间 DDoS 攻击事件：在某电商平台的一次大型促销活动中，黑客组织发动了大规模的 DDoS 攻击。他们通过控制大量的僵尸网络向电商平台的 API 接口发送海量的请求，导致平台服务器瘫痪，无法正常处理用户的订单、支付等请求，大量用户无法正常购物，同时黑客还利用自动化工具恶意抢夺了大量优惠券，使得普通用户无法正常参与活动，给电商平台的业务和声誉造成了严重影响CSDN博客。

恶意竞争引发的 DDoS 攻击事件：竞争对手为了打压某电商平台，雇佣黑客对其 API 接口进行持续性的 DDoS 攻击，致使平台的服务长时间中断，用户大量流失，品牌形象受损，在市场竞争中处于劣势地位。

身份验证机制缺陷事件

暴力破解获取 API 访问权限事件：某电商平台的 API 接口身份验证机制过于简单，仅使用用户名和密码进行验证，且未对登录失败次数进行限制。攻击者通过暴力破解的方式，尝试大量的用户名和密码组合，最终成功获取了部分用户的 API 访问权限，进而窃取用户的个人信息和交易记录，进行盗刷等违法活动。

OAuth2.0 授权漏洞事件：某电商平台在使用 OAuth2.0 进行第三方应用授权时，存在安全漏洞。攻击者通过伪造授权请求，绕过了平台的身份验证和授权流程，获取了用户在该平台的敏感数据和操作权限，如修改用户的收货地址、篡改订单信息等，给用户带来了直接的经济损失和隐私泄露风险。

内部人员违规操作事件

内部员工数据窃取事件：某电商平台的内部员工为了谋取私利，利用自己的工作权限，通过 API 接口非法获取用户数据，并将其出售给第三方数据公司。这些数据被用于精准营销、诈骗等非法活动，导致大量用户受到骚扰和经济损失，同时也严重损害了电商平台的声誉和用户信任CSDN博客。

内部人员误操作导致 API 故障事件：电商平台的技术人员在对 API 接口进行维护和更新时，由于操作失误，导致 API 接口的配置错误，部分功能无法正常使用，影响了用户的购物体验和业务流程，如无法正常下单、支付失败等，给电商平台带来了一定的经济损失和客户投诉。

供应链安全风险事件

供应商 API 安全漏洞引发的数据泄露事件：某电商平台的供应商系统存在 API 安全漏洞，黑客通过攻击供应商的 API 接口，获取了供应商与电商平台之间的订单数据、商品信息等敏感数据。这些数据包含了电商平台的采购计划、销售策略等商业机密，一旦泄露可能被竞争对手利用，给电商平台带来巨大的商业损失CSDN博客。

合作伙伴 API 故障导致业务中断事件：电商平台与一家支付机构合作提供在线支付服务，支付机构的 API 出现故障，导致用户在购物结算时无法正常支付。这一故障不仅影响了用户的购物体验，还导致大量订单流失，给电商平台和支付机构都带来了经济损失，同时也损害了双方的合作关系和声誉。

出行行业

某网约车平台 API 漏洞致用户信息泄露事件：国内一家知名网约车平台的 API 存在安全漏洞，黑客通过该漏洞获取了部分用户的姓名、手机号码、行程记录等信息。由于网约车平台掌握着大量用户的出行隐私信息，这些数据一旦被泄露，可能会被用于骚扰、诈骗等不法行为，给用户的人身安全和财产安全带来威胁。

某共享单车平台 API 被破解事件：某共享单车平台的 API 被破解，一些不法分子利用破解后的 API 制作虚假的开锁程序并在网络上售卖。用户购买这些虚假程序后，可以免费开锁使用共享单车，这不仅给共享单车平台带来了经济损失，还破坏了平台的正常运营秩序，影响了其他用户的正常使用。

车联网行业

车企 API 漏洞致车辆及用户信息泄露

2023 年知名车企 API 安全漏洞事件：2023 年初，安全组织披露，近 20 家知名品牌车企存在 API 安全漏洞，包括奔驰、宝马、劳斯莱斯、法拉利、保时捷等。黑客能远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息，如姓名、电话号码、身份证号、车架号等，造成大量客户数据泄露。

Reviver 等车联网服务商 API 缺陷事件：在 Reviver、SiriusXM 和 Spireon 等主流车联网服务商的应用方案中，同样存在大量严重的 API 安全缺陷，可能导致用户的车辆使用数据、位置信息等被非法获取。

运营商 API 漏洞致用户数据泄露

T-Mobile 数据泄露事件：2023 年 1 月，T-Mobile 公开承认，黑客利用一个 API 漏洞窃取了 3700 万客户的数据，泄漏的基本客户信息包括姓名、账单地址、电子邮件和电话号码等。

车联网服务端 API 安全风险事件

现代汽车印度子公司维修站点文件分享链接泄露客户个人信息：2024 年，现代汽车印度子公司被曝在维修中通过 WhatsApp 与客户分享维修订单和发票获取链接，因链接中包含电话号码造成了客户的个人信息的暴露，泄露的信息包括姓名、邮寄地址、电子邮箱地址、电话号码、车牌号、发动机号、行驶里程等。

首届 Pwn2Own Automotive 大赛披露漏洞：在 2024 年 1 月 24 日到 26 日的首届 Pwn2Own 汽车大赛中，参赛选手共发现 49 个唯一 0day 漏洞。除 QNX 和 Android Automotive OS 外，Tesla、所有充电桩以及 AGL 操作系统均被参赛团队成功攻破，这些漏洞可能通过 API 被利用，进而威胁车联网的安全。

内部管理不当引发 API 安全风险

梅赛德斯奔驰员工令牌泄露事件：2023 年，RedHuntLabs 的攻击面管理研究团队发现梅赛德斯奔驰员工的身份验证令牌被暴露在公共 GitHub 存储库中，泄露的令牌提供对梅赛德斯内部 GitHub Enterprise Server 的不受限制的访问，可能导致源代码、数据库访问凭证、云服务访问凭证、设计文档等重要数据泄露。

恶意攻击利用 API 窃取数据

黑客利用 API 接口漏洞攻击多行业系统事件：2024 年 1 月，据《检察日报》报道，有黑客利用 API 接口漏洞，对全国 21 个省市、29 个行业的 51 个系统发动网络攻击，非法获取大量公民个人信息进行贩卖，获利 500 余万。车联网行业作为数据密集型行业，也可能成为攻击目标。

物流行业

数据泄露事件

物流平台用户信息泄露事件：某知名物流平台被发现存在 API 安全漏洞，黑客利用该漏洞获取了大量用户的姓名、电话号码、地址等个人信息，以及部分用户的物流订单记录，包括所购商品名称、数量等。这些数据被泄露后，可能被用于精准营销、诈骗等非法活动，给用户带来了骚扰和经济损失，同时也损害了物流平台的声誉。

快递企业与电商平台数据共享漏洞事件：快递企业在与电商平台进行数据共享时，由于 API 接口的安全防护不足，导致用户的订单数据在传输过程中被泄露。黑客通过拦截 API 请求，获取了用户的购物信息和物流信息，包括商品详情、收货地址、联系方式等，这些信息可能被用于商业欺诈或其他恶意行为。

注入攻击事件

SQL 注入攻击致物流系统故障事件：攻击者通过向物流企业的 API 接口注入恶意 SQL 语句，成功获取了数据库的部分权限。利用这些权限，攻击者篡改了物流订单数据、车辆调度信息等关键数据，导致物流系统的业务流程混乱，货物运输延误，同时大量的恶意查询请求使数据库服务器不堪重负，最终瘫痪，给物流企业带来了巨大的经济损失和业务影响。

命令注入攻击事件：不法分子通过在物流平台的 API 接口中注入命令代码，获取了服务器的部分控制权，进而篡改物流系统的配置信息、用户权限等，导致物流平台的部分功能无法正常使用，如无法正常下单、查询物流信息等，严重影响了用户的使用体验和物流企业的运营效率。

DDoS 攻击事件

物流平台促销活动期间 DDoS 攻击事件：在某物流平台的一次大型促销活动中，黑客组织发动了大规模的 DDoS 攻击。他们通过控制大量的僵尸网络向物流平台的 API 接口发送海量的请求，导致平台服务器瘫痪，无法正常处理用户的订单、查询等请求，大量用户无法及时获取物流信息，同时也影响了物流企业的货物运输和配送效率，给物流企业带来了严重的业务损失和声誉损害。

恶意竞争引发的 DDoS 攻击事件：竞争对手为了打压某物流企业，雇佣黑客对其 API 接口进行持续性的 DDoS 攻击，致使该物流企业的服务长时间中断，用户大量流失，在市场竞争中处于劣势地位，同时也给其合作伙伴和客户带来了不便和损失。

身份验证机制缺陷事件

物流平台弱密码导致 API 入侵事件：某物流平台的 API 接口身份验证机制存在漏洞，允许用户使用简单的弱密码进行登录。攻击者通过暴力破解的方式，轻易获取了部分用户的 API 访问权限，进而窃取用户的个人信息和物流订单数据，进行盗刷等违法活动，同时还可能篡改物流订单信息，导致货物丢失或延误。

OAuth2.0 授权漏洞事件：物流企业在使用 OAuth2.0 进行第三方应用授权时，存在安全漏洞。攻击者通过伪造授权请求，绕过了平台的身份验证和授权流程，获取了用户在该平台的敏感数据和操作权限，如修改收货地址、篡改物流状态等，给用户带来了直接的经济损失和隐私泄露风险。

内部人员违规操作事件

物流企业内部员工数据窃取事件：某物流企业的内部员工为了谋取私利，利用自己的工作权限，通过 API 接口非法获取用户数据，并将其出售给第三方数据公司。这些数据被用于精准营销、诈骗等非法活动，导致大量用户受到骚扰和经济损失，同时也严重损害了物流企业的声誉和用户信任。

内部人员误操作导致 API 故障事件：物流企业的技术人员在对 API 接口进行维护和更新时，由于操作失误，导致 API 接口的配置错误，部分功能无法正常使用，影响了用户的物流查询、下单等操作，给物流企业带来了一定的经济损失和客户投诉。

供应链安全风险事件

物流供应商 API 安全漏洞引发的数据泄露事件：物流企业的供应商系统存在 API 安全漏洞，黑客通过攻击供应商的 API 接口，获取了供应商与物流企业之间的订单数据、货物信息等敏感数据。这些数据包含了物流企业的采购计划、运输路线等商业机密，一旦泄露可能被竞争对手利用，给物流企业带来巨大的商业损失。

合作伙伴 API 故障导致业务中断事件：物流企业与一家支付机构合作提供在线支付服务，支付机构的 API 出现故障，导致用户在支付物流费用时无法正常支付。这一故障不仅影响了用户的支付体验，还导致大量订单无法及时处理，给物流企业和支付机构都带来了经济损失，同时也损害了双方的合作关系和声誉。