1

Данные под угрозой: уязвимости API

Мы каждый день сталкивается с Application Programming Interface (API) — интерфейс программирования приложений, и даже этого не подозреваем. Часто при создании своей web-страницы компании используют уже готовые решения, которые есть на рынке. Большинство современных сайтов внедряют по крайней мере несколько сторонних API. Как это работает для простого пользователя? Например, совершая покупку в интернете, как только мы нажимаем кнопку «оплатить», сайт соединяет нас с платежной системой.  Эта оплата идет через сторонний API.

Простыми словами, интерфейс программирования приложений помогает двум программам обмениваться информацией и выполнять определённые функции.

Судя по количеству инцидентов, связанных с API, компаниям давно пора позаботиться о безопасности данных, которые передаются с его помощью. Давайте вспомним топ-10 кейсов с уязвимостями интерфейса программирования приложений:

  1. API Google Analytics в качестве вектора атаки.

Есть такой инструмент Content Security Policy (CSP). Он используется для защиты веб-приложений от уязвимостей на стороне клиента и атак Magecart. Дело в том, что CSP не совсем совместима с API Google Analytics. Но так как Google Analytics широко используется на веб-сайтах для сбора статистики и данных для принятия бизнес-решений, его домен обычно помещается в список разрешенных CSP. Это и открывает возможности для киберзлоумышленников. Вывод: следует всегда учитывать риски использования API стороннего производителя.

 

  1. Недостатки API YouTube.

При загрузке видео в Video Builder инструмент показывал список каналов учетной записи и позволял пользователю выбрать нужный. Если использовать API напрямую для отправки идентификатора канала, который вам не принадлежит, можно загрузить видео под другим пользователем. YouTube не проверял разрешения и загружал видео на выбранный канал.

 

  1. Баг API Twitter.

Публикация твита в посте Fleet позволяет делиться контентом, который исчезнет через 24 часа. По крайней мере все так думали. На самом деле эти посты были фактически отфильтрованы на уровне пользовательского интерфейса. При обращении к API Fleet с истекшим сроком действия, уведомления о прочтении не приходили владельцам, оставляя их в неведении.

 

  1. Множественные уязвимости Tesla Backup Gateway APIs

Tesla Backup Gateway – платформа для управления солнечными батареями или аккумуляторами. Она определяет, когда заряжать батареи, отправлять энергию обратно в электросеть, и какую комбинацию солнечной энергии, энергии батарей и сети использовать для питания дома. Система подключена к сети интернет и выяснилось, что некоторые из API не требуют аутентификации. Это значит, что открыто предоставляются данные о потреблении и производстве энергии (имя, страна и штат, название коммунальной компании и т.д.).

 

  1. Уязвимости в системе управления автомобилем Mercedes Benz.

Исследователи получили доступ к внутренней сети Mercedes-Benz E-Class через цифровую sim-карту (eSIM) и обнаружили ряд уязвимостей. Чтобы подключиться, им пришлось повторно использовать настройки APN (идентификатор сети пакетной передачи данных), подделывать номера IMEI (международный идентификатор мобильного оборудования), а также находить и повторно использовать сертификаты. Однако, преодолев все эти препятствия и установив соединение, они обнаружили, что сами API совершенно не защищены.

 

  1. Утечки данных отеля и казино MGM Grand.

Объявление о продаже данных клиентов MGM Grand разместил хакер в даркнет ещё в 2019 году. Но как он их добыл? Похоже, что информация попала в его руки из-за утечки данных в Data Viper, платформе безопасности, которую использовала MGM. Data Viper в свою очередь потеряла свою базу данных в результате некачественного API-кодирования. Еще один повод задуматься о безопасности в контексте использования сторонних поставщиков услуг.

 

  1. Уязвимость в Facebook

Из-за неправильно настроенного API GraphQL, в Facebook появилась привлекательная для злоумышленников уязвимость. Любой пользователь мог изменять имя другого человека на его личной странице. И хотя это не прямая утечка данных, но мошенники могли использовать такую уязвимость, чтобы выдать себя за других людей и получить доступ к частной информации.

 

  1. Стороннее приложение раскрыло 8 млн записей ведущих торговых компаний.

Amazon UK, Ebay, Shopify, PayPal и Stripe – это неполный список компаний, чью записи утекли в сеть. 8 млн данных о покупках были скомпрометированы из-за уязвимостей стороннего поставщика услуг. Он помогал продавцам объединять данные о продажах и возвратах с нескольких торговых площадок, а также рассчитывать налог на добавленную стоимость (НДС) для трансграничных продаж в ЕС. Этот инцидент свидетельствует об опасностях, связанных с передачей данных через API третьим лицам.

 

  1. Номера телефонов 267 млн пользователей Facebook утекли в сеть.

Инцидент произошел в декабре 2019 года. База данных, содержащая миллионы телефонных номеров пользователей Facebook, была опубликована на хакерском онлайн-форуме. Как произошла утечка этих данных, неизвестно, но одно из предположений — данные были украдены из API разработчиков Facebook до того, как компания ограничила доступ к телефонным номерам в 2018 году.

 

  1. Личные данные 1,41 млн американских врачей продали в даркнете.

Хакеры использовали незащищенный API на сайте findadoctor.com для сбора информации о 1,4 миллионах американских врачей. Хотя информация на самом сайте была общедоступной, незащищенный API позволил загрузить её и сделать доступной в структурированном виде. Опасность в том, что все эти данные могут быть использованы для проведения дальнейших атак.

Related Posts

card__image

Что такое социальная инженерия?

Социальная инженерия — это искусство манипуляции, влияния или обмана с целью получения контроля над вашей компьютерной системой. Хакер может использовать телефон, электронную почту, почтовую переписку или прямой контакт для получения незаконного доступа. Примерами могут служить фишинг, целевой фишинг и атаки с использованием корпоративной электронной почты. Кто же промышляет социальной инженерией? Это может быть хакер из […]

card__image

ТОП неудачных паролей компаний из списка Fortune 500

Эксперты компании NordPass назвали самые неудачные пароли компаний из списка Fortune 500.   Исследователи проанализировали общедоступные базы скомпрометированных паролей, которые затронули компании из списка Fortune 500. Всего изучили 15 603 438 утечек и сегментировали по 17 индустриям.   «Даже самые крупные игроки борются за безопасность паролей»   Итак, что выяснЯли:   Как часто пароли компаний […]

card__image

Verizon: кибервектор для компаний задан

В 2021 году количество кибератак достигло нового рекордного уровня. Вы спросите, куда же больше, а мы просто пожмем плечами. Согласитесь, страх попасть под горячую руку хакеров действует отчасти парализующе. Руководители понимают, что каждый инцидент требует от компаний времени, денег и ресурсов на восстановление, нанося зачастую непоправимый ущерб репутации бренда и лояльности клиентов. Но как выстоять, […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *