Мы каждый день сталкивается с Application Programming Interface (API) — интерфейс программирования приложений, и даже этого не подозреваем. Часто при создании своей web-страницы компании используют уже готовые решения, которые есть на рынке. Большинство современных сайтов внедряют по крайней мере несколько сторонних API. Как это работает для простого пользователя? Например, совершая покупку в интернете, как только мы нажимаем кнопку «оплатить», сайт соединяет нас с платежной системой. Эта оплата идет через сторонний API.
Простыми словами, интерфейс программирования приложений помогает двум программам обмениваться информацией и выполнять определённые функции.
Судя по количеству инцидентов, связанных с API, компаниям давно пора позаботиться о безопасности данных, которые передаются с его помощью. Давайте вспомним топ-10 кейсов с уязвимостями интерфейса программирования приложений:
- API Google Analytics в качестве вектора атаки.
Есть такой инструмент Content Security Policy (CSP). Он используется для защиты веб-приложений от уязвимостей на стороне клиента и атак Magecart. Дело в том, что CSP не совсем совместима с API Google Analytics. Но так как Google Analytics широко используется на веб-сайтах для сбора статистики и данных для принятия бизнес-решений, его домен обычно помещается в список разрешенных CSP. Это и открывает возможности для киберзлоумышленников. Вывод: следует всегда учитывать риски использования API стороннего производителя.
- Недостатки API YouTube.
При загрузке видео в Video Builder инструмент показывал список каналов учетной записи и позволял пользователю выбрать нужный. Если использовать API напрямую для отправки идентификатора канала, который вам не принадлежит, можно загрузить видео под другим пользователем. YouTube не проверял разрешения и загружал видео на выбранный канал.
- Баг API Twitter.
Публикация твита в посте Fleet позволяет делиться контентом, который исчезнет через 24 часа. По крайней мере все так думали. На самом деле эти посты были фактически отфильтрованы на уровне пользовательского интерфейса. При обращении к API Fleet с истекшим сроком действия, уведомления о прочтении не приходили владельцам, оставляя их в неведении.
- Множественные уязвимости Tesla Backup Gateway APIs
Tesla Backup Gateway – платформа для управления солнечными батареями или аккумуляторами. Она определяет, когда заряжать батареи, отправлять энергию обратно в электросеть, и какую комбинацию солнечной энергии, энергии батарей и сети использовать для питания дома. Система подключена к сети интернет и выяснилось, что некоторые из API не требуют аутентификации. Это значит, что открыто предоставляются данные о потреблении и производстве энергии (имя, страна и штат, название коммунальной компании и т.д.).
- Уязвимости в системе управления автомобилем Mercedes Benz.
Исследователи получили доступ к внутренней сети Mercedes-Benz E-Class через цифровую sim-карту (eSIM) и обнаружили ряд уязвимостей. Чтобы подключиться, им пришлось повторно использовать настройки APN (идентификатор сети пакетной передачи данных), подделывать номера IMEI (международный идентификатор мобильного оборудования), а также находить и повторно использовать сертификаты. Однако, преодолев все эти препятствия и установив соединение, они обнаружили, что сами API совершенно не защищены.
- Утечки данных отеля и казино MGM Grand.
Объявление о продаже данных клиентов MGM Grand разместил хакер в даркнет ещё в 2019 году. Но как он их добыл? Похоже, что информация попала в его руки из-за утечки данных в Data Viper, платформе безопасности, которую использовала MGM. Data Viper в свою очередь потеряла свою базу данных в результате некачественного API-кодирования. Еще один повод задуматься о безопасности в контексте использования сторонних поставщиков услуг.
- Уязвимость в Facebook
Из-за неправильно настроенного API GraphQL, в Facebook появилась привлекательная для злоумышленников уязвимость. Любой пользователь мог изменять имя другого человека на его личной странице. И хотя это не прямая утечка данных, но мошенники могли использовать такую уязвимость, чтобы выдать себя за других людей и получить доступ к частной информации.
- Стороннее приложение раскрыло 8 млн записей ведущих торговых компаний.
Amazon UK, Ebay, Shopify, PayPal и Stripe – это неполный список компаний, чью записи утекли в сеть. 8 млн данных о покупках были скомпрометированы из-за уязвимостей стороннего поставщика услуг. Он помогал продавцам объединять данные о продажах и возвратах с нескольких торговых площадок, а также рассчитывать налог на добавленную стоимость (НДС) для трансграничных продаж в ЕС. Этот инцидент свидетельствует об опасностях, связанных с передачей данных через API третьим лицам.
- Номера телефонов 267 млн пользователей Facebook утекли в сеть.
Инцидент произошел в декабре 2019 года. База данных, содержащая миллионы телефонных номеров пользователей Facebook, была опубликована на хакерском онлайн-форуме. Как произошла утечка этих данных, неизвестно, но одно из предположений — данные были украдены из API разработчиков Facebook до того, как компания ограничила доступ к телефонным номерам в 2018 году.
- Личные данные 1,41 млн американских врачей продали в даркнете.
Хакеры использовали незащищенный API на сайте findadoctor.com для сбора информации о 1,4 миллионах американских врачей. Хотя информация на самом сайте была общедоступной, незащищенный API позволил загрузить её и сделать доступной в структурированном виде. Опасность в том, что все эти данные могут быть использованы для проведения дальнейших атак.
