Вопрос. Что произойдет с моей организацией, если API-интерфейсы будут скомпрометированы или использованы не по назначению?
Майкл Исбитски, технический евангелист Salt Security: Последствия злоупотребления API включают в себя очевидные ответы на утечку данных и ущерб бренду, но специалисты по безопасности борются со многими другими проблемами. Урегулирование Equifax в размере 700 миллионов долларов, которое было результатом злоупотребления API, стало мерилом потенциального влияния на бизнес. Наблюдая за недавними инцидентами безопасности API, некоторые из самых серьезных последствий включали потерю данных, нарушение конфиденциальности, захват учетной записи, мошенничество и компрометацию цепочки поставок.
Потеря данных происходит в тех случаях, когда API не обеспечивают достаточную аутентификацию и авторизацию, что является распространенной ошибкой, которую совершают организации, ослабляя контроль доступа для продвижения внедрения API. Мы также видели многочисленные инциденты со скрейпингом, когда злоумышленники массово собирают данные через API, даже для API, требующих аутентификации. Недавние примеры парсинга включают инциденты с API в Facebook и LinkedIn, а также инциденты с Experian и Peloton, когда исследователи безопасности рано обнаружили возможность массового парсинга. Хотя линия компании для организаций-жертв часто заключается в том, что эти инциденты не подпадают под определение утечки данных, нормативные формулировки могут отличаться, а влияние на конфиденциальность клиентов очевидно.
Злоумышленники также злоупотребляют API с помощью методов грубой силы и подстановки учетных данных с целью компрометации учетных данных пользователя или захвата учетной записи (ATO). Беспокойство по поводу ATO характерно для всех отраслей, но особенно сильно оно бьет по финансовым услугам и финансовым технологиям. Как только злоумышленник завладел учетной записью, он использует этот доступ для дальнейшего повышения привилегий или увековечения другого мошенничества. Мы также видели атаки на цифровые цепочки поставок и сложные цепочки атак, в которых API-интерфейсы являются начальным или основным вектором атаки. Как только злоумышленники получают доступ через API, они злоупотребляют этим доступом, чтобы скомпрометировать другие системы или проникнуть в сети организации. Атаки Microsoft Exchange Server в марте 2021 года были отличным примером такого типа атак API.
