CYBER ALERT - DEMO S.A.
ΤΙ ΕΙΝΑΙ ΤΟ API Breach;
Αναλυτικό άρθρο για τη κατανόηση και τη προφύλαξη ενάντια στα API Breaches.
Μια επίθεση API είναι καταχρηστική ή χειραγωγική χρήση ή απόπειρα χρήσης ενός API, που χρησιμοποιείται συνήθως για την παραβίαση δεδομένων ή τον χειρισμό μιας εμπορικής λύσης.
Οι επιθέσεις API χωρίζονται σε 8 βασικές κατηγορίες.
Τύποι:
Μια πολιτική ελέγχου πρόσβασης διασφαλίζει ότι οι χρήστες δεν μπορούν να ενεργήσουν εκτός των προβλεπόμενων αδειών τους. Η αποτυχία οδηγεί σε αποκάλυψη πληροφοριών, τροποποίηση ή καταστροφή δεδομένων. Όταν ψάχνουμε για αυτό το είδος ευπάθειας, μερικές φορές μπορούμε να παραβιάσουμε παραμέτρους (για παράδειγμα, παραμέτρους id) και να λάβουμε μια επιτυχημένη επίθεση. Ανάλογα με τη συγκεκριμένη ευπάθεια, οι συνέπειες μπορεί να είναι καταστροφικές. Το χειρότερο σενάριο είναι όταν ένας μη εξουσιοδοτημένος χρήστης έχει πρόσβαση σε μια προνομιακή λειτουργία. Αυτό μπορεί να τους δώσει τη δυνατότητα να τροποποιήσουν ή να διαγράψουν περιεχόμενο στον ιστότοπο ή να λάβουν ευαίσθητα δεδομένα για τους χρήστες.
Μια κατανεμημένη επίθεση άρνησης υπηρεσίας (Distributed Denial of Service attack - DDoS) μπορεί να κάνει ένα τελικό σημείο API μη προσβάσιμο ή να το εκτροχιάσει. Τα διαδικτυακά συστήματα ηλεκτρονικού εμπορίου θα είναι ανοιχτά στο IDA (επιθέσεις άρνησης αποθέματος).
Τον Αύγουστο του 2021, δεκάδες οργανισμοί που χρησιμοποιούν το Microsoft Power Apps εξέθεσαν κατά λάθος 38 εκατομμύρια αρχεία, ανίχνευση επαφών COVID-19, αριθμούς κοινωνικής ασφάλισης αιτούντων εργασίας, ακόμη και 332.000 διευθύνσεις email και αναγνωριστικά εργαζομένων που χρησιμοποιούνται από τις παγκόσμιες υπηρεσίες μισθοδοσίας της Microsoft.
Εκτός από τη Microsoft, άλλοι οργανισμοί που επηρεάστηκαν περιλαμβάνουν την American Airlines, Ford, J.B. Hunt και πρακτορεία στην Ιντιάνα, το Μέριλαντ και τη Νέα Υόρκη.
Σύμφωνα με ερευνητές της UpGuard, της εταιρείας ασφαλείας που ανακάλυψε τις διαρροές, οι πύλες Microsoft Power Apps ήταν εύκολο να ρυθμιστούν με τέτοιο τρόπο ώστε να επιτρέπουν την πρόσβαση του κοινού.
Το πρόβλημα έγκειται στον τρόπο διαμόρφωσης των διεπαφών προγραμματισμού εφαρμογών του συστήματος - τα APIs.
Η ασφάλεια των API από επιθέσεις είναι κρίσιμης σημασίας για τις επιχειρήσεις καθώς αυξάνεται η χρήση του API και επεκτείνεται η επιφάνεια επίθεσης. Οι συνήθεις επιθέσεις κατά των API Ιστού περιλαμβάνουν επιθέσεις "γεμίσματος" διαπιστευτηρίων, επιθέσεις κατάληψης λογαριασμού, χειραγώγηση αιτημάτων κλήσεων API, επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS) και επιθέσεις Man-in-the Middle. Η παραβίαση ή η κατάχρηση των API μπορεί να έχει εκτεταμένες συνέπειες, όπως παραβιάσεις δεδομένων, διείσδυση δεδομένων ή αργή και ακόμη και πλήρης διακοπή της υπηρεσίας.
Οι οργανισμοί πρέπει να επενδύσουν στην εφαρμογή βέλτιστων πρακτικών ασφάλειας API, όπως η δοκιμή API (πριν από την παραγωγή) για τον εντοπισμό ζητημάτων που μπορεί να επιτρέψουν σε έναν κακό παράγοντα να εκμεταλλευτεί μια ευπάθεια. Για να μετριάσει τους κινδύνους που ενυπάρχουν στα API, ένας οργανισμός θα πρέπει να λάβει πέντε βασικές ενέργειες για να προστατεύσει τα υπάρχοντα API του:
Οι οργανισμοί που αποθεματοποιούν και διαχειρίζονται τα API τους βρίσκονται στο σωστό δρόμο, αλλά δεν είναι αρκετό. Κάθε οργανισμός έχει αυτά τα άγνωστα ή ξεχασμένα API. Η εφαρμογή ισχυρών ελέγχων πρόσβασης είναι κρίσιμης σημασίας, επειδή τα API παρέχουν ένα σημείο εισόδου στα περιουσιακά στοιχεία της επιχείρησης, συμπεριλαμβανομένων των προσωπικών και ευαίσθητων δεδομένων. Χωρίς κρυπτογραφικά μέτρα για την κρυπτογράφηση δεδομένων κατά τη μεταφορά, τα δεδομένα που μεταφέρονται χρησιμοποιώντας ένα API διατρέχουν κίνδυνο τροποποίησης και μη εξουσιοδοτημένης χρήσης. Η επισήμανση όταν ένας συγκεκριμένος χρήστης κάνει πάρα πολλά αιτήματα API θα βοηθήσει στην αποτροπή επιθέσεων ωμής βίας ή διακοπής της υπηρεσίας.