by adminAs maiores invasões de API dos últimos tempos
O desejo de inovar nos serviços e conectá-los a outras plataformas tem aberto um espaço gigante para ataque de ameaças. Confira as quatro maiores invasões de API (Application Programming Interfaces) dos últimos tempos. Entenda a importância de reforçar essa camada de proteção em suas aplicações ou nos serviços que utiliza.
700 milhões de usuários expostos no LinkedIn
Maior plataforma de rede social profissional do mundo, o LinkedIn teve dados de 700 milhões de usuários roubados. O ataque que aconteceu em 2021 atingiu 90% da base de usuários da plataforma.
Os dados depois foram oferecidos na DarkWeb, com nomes, números de telefone e endereços físicos. Essas são informações valiosas nas mãos de criminosos que realizam phishing, smishing e outras ações. Em suma, os dados foram baixados usando a API do LinkedIn. A plataforma não divulgou quais falhas técnicas permitiram o ataque.
Vazamento no ClubHouse
O ClubHouse é uma rede social baseada em áudio, em vez de texto. Supreendentemente, apenas 12 meses depois do lançamento, ela ostentava mais de 10 milhões de usuários por semana. Foi quando um fórum popular de hackers publicou um banco de dados com mais de 1,3 milhão de registros de usuários. Eram informações como nomes, datas de criação de contas e URLs de fotos.
Em resumo, a falha de segurança foi que qualquer pessoa pode usar a API para consultar todas as informações de perfil de usuário do Clubhouse publicamente disponíveis. A falta de medidas anti-scraping representa uma falha de segurança de APIs. Os controles técnicos obrigatoriamente precisam impor essas regras de política.
Hack da API do Parler
A Parler é uma rede social que teve muito destaque durante o governo Trump, nos EUA. Em 2021, pesquisadores de segurança conseguiram extrair mais de 60 terabytes de dados dos 10 milhões de usuários do site. O hack foi um ato de hacktivismo, pois envolveu equipes de segurança realizando um ataque coordenado a um sistema por motivos sociais ou políticos.
Para isso, os pesquisadores exploraram uma camada de API que não tinha limites. Isso significava que os pesquisadores podiam baixar todos os dados do usuário que quisessem sem que a Parler pudesse sinalizar o que estava acontecendo. Além disso, a plataforma ordenou sequencialmente os URLs de postagem, e isso facilitou o download de milhões de postagens automaticamente.
Invasões no NoxPlayer
No início de 2021, veio a público um hack de API que inseriu malwares para usuários do NoxPlayer, um emulador de Android para PC e Mac. A técnica sofisticada usada pelos hackers explorou a validação insuficiente da resposta da API. Assim, eles enviaram três tipos de malware diferentes para os usuários, como se fossem atualizações de software. A NoxPlayer depois anunciou que corrigiu as falhas que tornaram o hack possível.
Não seja o próximo!
Concluindo, casos como o do LinkedIn e os outros acima acendem um alerta. A segurança não pode continuar como uma parte secundária e tardia no ciclo de desenvolvimento e é preciso um olhar ainda mais atento para as camadas de comunicação. Esses cuidados podem te ajudar a saber como se proteger de ataques na IOT, a Internet das Coisas, ou mesmo avançar na sua proteção para o paradigma “Assume Breach“, que passa por agir como se sua rede já estivesse invadida, pois provavelmente está.
Confira, no nosso próximo post, as principais técnicas usadas na invasão de APIs e tenha condições de se proteger melhor nesta que é uma importante fronteira na batalha da segurança digital.