Em todo o mundo, as Interfaces de Programação de Aplicativos (APIs), que possibilitam que aplicativos e computadores se comuniquem entre si, estão sob ataque. E o recente episódio envolvendo a operadora T-Mobile, que desde 2018, já sofreu oito violações de dados só comprova essa realidade, afirma a Salt Security.
Na última semana, a operadora de telecomunicações anunciou oficialmente que informações pessoais de 37 milhões de contas de clientes pós-pagos e pré-pagos foram violadas por meio da exploração de uma de suas APIs ao longo de 41 dias e que possibilitou o acesso a um conjunto limitado de dados, incluindo nome do cliente, endereço de cobrança, e-mail, número de telefone e data de nascimento.
De acordo com a Salt Security, em geral, a maioria das violações de dados de API resulta de um ataque ou da combinação de cenários de ataques distintos:
a) alta de visibilidade e governança da API, caso da provedora de telecomunicações australiana Optus;
b) abuso e uso indevido da API, como experimentado pelo LinkedIn, Twitter, Peloton e, mais recentemente, pelo programa Infragard do FBI;
c) lógica de negócios quebrada e credenciais roubadas, incluindo engenharia social e engenharia reversa, como ocorreu com Dropbox, Slack e CircleCI.
Investicação
“O que estamos vendo hoje é que mesmo organizações maduras e muito sábias em segurança, como a T-Mobile, continuam a sofrer violações relacionadas à API. É muito difícil descobrir possíveis abusos e falhas de lógica de negócios no desenvolvimento e nos testes. Temos que assumir que lapsos de governança e falhas lógicas e potenciais de abuso são absolutos em ambientes de produção. Agora, mais do que nunca, é essencial que as organizações protejam a execução de API, para detectar imediatamente atividades maliciosas, quando uma API for abusada, comprometida ou esteja sob reconhecimento por um invasor”, explica Daniela Costa, diretora para a América Latina da Salt Security.
A curva ascendente do número de ataques às APIs é confirmada pelo Relatório sobre o Estado da Segurança de API do Salt Labs*. O levantamento aponta que 94% dos clientes entrevistados enfrentaram problemas de segurança em APIs de produção, sendo que 34% foram atingidos por mais de 100 tentativas de ataques por mês. A gravidade da situação fica ainda mais evidenciada com 20% dos entrevistados confirmando pelo menos um vazamento de informações internas devido à APIs inseguras.
*O levantamento foi compilado por pesquisadores da Salt Labs, utilizando dados de pesquisa de mais de 250 executivos e profissionais de segurança, aplicativos e DevOps, além de dados empíricos anonimizados e agregados de clientes da Salt Security obtidos através da Plataforma Salt Security de Proteção de API.
