APIs: Revelando o Assassino Silencioso do Risco de Segurança Cibernética em Diversas Indústrias
2 de Outubro de 2023

No ecossistema digital interconectado de hoje, as Interfaces de Programação de Aplicativos (APIs) desempenham um papel fundamental para possibilitar a comunicação contínua e a troca de dados entre vários aplicativos e sistemas de software.

As APIs atuam como pontes, facilitando o compartilhamento de informações e funcionalidades.

No entanto, com o uso crescente das APIs, elas se tornaram cada vez mais atraentes para os cibercriminosos e um risco significativo para a segurança cibernética em diversas indústrias.

Este artigo mergulha no mundo das APIs, explorando os desafios substanciais de segurança cibernética que elas trazem e fornecendo exemplos reais de violações de API em diferentes setores.
Baixe o Guia de Segurança da API.

A proliferação de computação em nuvem, aplicativos móveis e a Internet das Coisas (IoT) acelerou a adoção das APIs.

Elas atuam como os blocos de construção dos aplicativos de software modernos, permitindo que os desenvolvedores integrem serviços de terceiros, aprimorem funcionalidades e criem rapidamente soluções inovadoras.

Desde serviços de saúde estendidos até o comércio eletrônico, as APIs se tornaram parte integrante de nossas vidas digitais.

Por que as APIs representam um risco à segurança cibernética
Do lado das APIs, a principal vulnerabilidade segundo o Projeto de Segurança de Aplicativos Web Abertos (OWASP), é uma BOLA (Broken object-level authorization) - ou uma violação na autorização a nível de objeto.

Esse problema pode permitir que os invasores manipulem o ID de um objeto em uma solicitação de API - permitindo assim que usuários sem privilégios possam ler ou excluir os dados de outro usuário.

Isso é um ataque de alto risco, dado que não requer habilidade técnica para ser executado, e as invasões se assemelham ao tráfego normal para a maioria dos sistemas de segurança.

A lógica de detecção deve diferenciar entre conexões de 1 para 1 e de 1 para muitos entre recursos e usuários.

Os ataques BOLA após o evento são difíceis de ver por causa de seu baixo volume e não mostram uma forte indicação de nenhuma anomalia comportamental, como injeção ou negação de serviço.

Relatórios de 2023 indicam que os ciberataques direcionados às APIs aumentaram 137%, com a saúde e a manufatura sendo vistas como alvos primários pelos invasores.

Os invasores estão particularmente interessados no recente influxo de novos dispositivos sob a Internet das Coisas Médicas (IoMT) e no ecossistema de aplicativos e APIs associados que têm apoiado a prestação de cuidados e serviços ao paciente mais acessíveis.

Outra indústria que também é vulnerável é a manufatura, que tem experienciado um aumento de dispositivos e sistemas de IoT, levando a um aumento de 76% nos ataques à mídia em 2022.

No entanto, de acordo com um relatório recente sobre o estado da segurança de API em 2023, a lista de principais preocupações das equipes de segurança com a API são:

APIs zumbis - APIs antigas e desatualizadas conhecidas como APIs zumbis apareceram no topo da lista de preocupações de segurança de API em muitos relatórios de 2023.

DDoS - Ataques de negação de serviço (DDoS) para sobrecarregar o site, servidor ou rede
Autenticação Bypass - Tomada/abuso de conta
Vazamento de Dados - Exposição acidental de dados sensíveis
Exfiltração de dados – Exposição não intencional de dados que são deliberadamente roubados
APIs Shadow - APIs "clandestinas" não documentadas (por exemplo, APIs desconhecidas ou shadow)

A explosão de APIs em diversas indústrias tem sido impulsionada por sua capacidade incomparável de aprimorar a conectividade, otimizar operações e possibilitar a inovação.

As organizações estão aproveitando as APIs para alcançar a interoperabilidade, acelerar ciclos de desenvolvimento e oferecer experiências de usuário aprimoradas.

Desde as plataformas de comércio eletrônico integrando gateways de pagamento, até sistemas de saúde compartilhando dados de pacientes de forma segura, as APIs permitem que as organizações aproveitem as forças de serviços e tecnologias especializados sem a necessidade de recriar do zero.

A modularidade e a extensibilidade oferecidas pelas APIs capacitam os desenvolvedores a incrementar funcionalidades existentes, criar rapidamente novas aplicações e a se adaptar à evolução das demandas do mercado.

À medida que as indústrias continuam a adotar a transformação digital, as APIs desempenham um papel fundamental na promoção de eficiência, agilidade e competitividade, fomentando um ecossistema dinâmico de tecnologias interconectadas.

Aqui estão alguns exemplos de como grandes indústrias estão usando as APIs e os riscos associados ao não garantir o segurança adequada das APIs.
As instituições de saúde estão cada vez mais utilizando o poder das APIs para revolucionar o cuidado do paciente e melhorar a eficiência operacional.

As APIs estão desempenhando o papel de condutor para uma troca de dados contínua entre vários sistemas de saúde, possibilitando a interoperabilidade entre plataformas de registros de saúde eletrônicos (EHR), aparelhos médicos e portais de pacientes.

Essas APIs facilitam o compartilhamento seguro e padronizado de informações do paciente, permitindo que os profissionais de saúde acessem dados cruciais no ponto de atendimento.

Além disso, as APIs estão impulsionando a inovação na telemedicina e no monitoramento remoto de pacientes ao possibilitar a comunicação em tempo real entre pacientes e profissionais médicos através de aplicativos móveis e dispositivos vestíveis.

Ao aproveitar as APIs, as instituições de saúde não estão apenas otimizando os fluxos de trabalho clínicos e reduzindo as cargas administrativas, mas também estão melhorando o envolvimento e os resultados dos pacientes.

O uso de APIs na saúde está fomentando um ecossistema mais conectado e orientado por dados, transformando fundamentalmente a maneira como os serviços de saúde são oferecidos e experimentados.

Algumas pesquisas apontam que a falta de segurança das APIs pode causar uma perda cibernética média anual relacionada à API de 12 bilhões a 23 bilhões de dólares nos EUA e de 41 bilhões a 75 bilhões de dólares globalmente.

Embora as APIs ofereçam benefícios significativos para a indústria da saúde, elas também introduzem riscos potenciais.

Controles de segurança inadequados nas implementações da API podem levar a acesso não autorizado a dados sensíveis do paciente, expondo indivíduos a violações de privacidade e roubo de identidade.

Para mitigar esses riscos, as instituições de saúde devem priorizar medidas robustas de segurança da API, incluindo criptografia, autenticação forte, avaliações regulares de vulnerabilidade e conformidade com as regulamentações da indústria, como a HIPAA.

Violação da API do Quest Diagnostics: uma terceira API foi responsável por uma das maiores violações de dados sofridas por um provedor líder de serviços de laboratório clínico nos Estados Unidos, a Quest Diagnostics.

Invasores exploraram uma vulnerabilidade na página de pagamento da web deste terceiro, que era acessível através de uma API exposta, obtendo acesso não autorizado às informações médicas de aproximadamente 11,9 milhões de pacientes.

As instituições financeiras estão alavancando as APIs para revolucionar seus serviços e experiências de cliente.

As APIs se tornaram a espinha dorsal dos sistemas financeiros modernos, permitindo uma integração contínua entre várias funções bancárias, aplicações de terceiros e serviços digitais.

Com as APIs, essas instituições podem oferecer aos clientes acesso em tempo real a informações de conta, histórico de transações e insights financeiros personalizados.

As APIs também facilitam o processamento seguro de pagamentos, possibilitando a integração de carteiras móveis e gateways de pagamento de terceiros.

Além disso, as instituições financeiras estão adotando iniciativas de Open Banking, permitindo que os clientes compartilhem de forma segura seus dados financeiros com aplicações de terceiros autorizadas por meio de APIs padronizadas.

Essa abordagem fomenta a inovação, possibilitando que as empresas de fintech desenvolvam soluções personalizadas, como aplicativos de orçamento, plataformas de investimento e serviços de empréstimo.

Através das APIs, as instituições financeiras não estão apenas melhorando a eficiência operacional, mas também transformando a maneira como os clientes interagem e administram seus assuntos financeiros, criando uma paisagem financeira mais dinâmica e interconectada.

Os invasores de API que visam serviços financeiros e APIs de seguro estão cada vez mais ativos, com um aumento relatado de 244% em ataques únicos em 2022.

Além disso, muitas instituições financeiras experimentaram um problema de segurança significativo nas APIs de produção no ano passado, e quase uma em cada cinco sofreu uma violação de segurança de API.

Devido a isso, em 3 de outubro de 2022, o FFIEC anunciou uma atualização significativa em seu Guia de Recursos de Segurança Cibernética de 2018 para Instituições Financeiras.

Adicionando a Segurança da API como um componente importante do inventário de sistemas de informação e iniciativas de gerenciamento de riscos de uma organização.

Este é um grande avanço em direção às futuras obrigatoriedades regulatórias, incluindo a segurança da API.

Violação da API da Latitude Financial: A empresa baseada em Melbourne, que oferece empréstimos pessoais e cartões de crédito na Austrália, sofreu uma grande violação que ocorreu em março de 2023, com mais de 14 milhões de registros sendo comprometidos.

Quase 8 milhões de carteiras de motorista foram roubadas, juntamente com 53.000 números de passaporte e dezenas de extratos financeiros mensais.

O aspecto mais preocupante da violação é que originalmente a Latitude Financial relatou que apenas 300.000 pessoas foram afetadas, sugerindo uma falta de entendimento do ataque.

Tecnologia
As empresas de tecnologia estão na vanguarda da utilização das APIs para criar soluções inovadoras e interconectadas que impulsionam a economia digital.

Essas empresas usam APIs para uma infinidade de propósitos, incluindo melhorar e aprimorar a experiência do usuário, expandir funcionalidades de produtos e colaborar com desenvolvedores externos.

Este rápido desenvolvimento e integração de APIs pode levar a descuidos de segurança.

As empresas de tecnologia geralmente gerenciam inúmeras APIs de várias fontes e garantir práticas de segurança consistentes entre todas elas pode ser um desafio.

Uma supervisão em uma API poderia abrir a porta para vulnerabilidades que os invasores poderiam explorar para comprometer a rede mais ampla.

Por exemplo, a integração de APIs de terceiros pode expor as empresas de tecnologia a riscos além de seu controle.

Se uma API de terceiros for comprometida, isso pode afetar a segurança do aplicativo integrado, como visto na violação do Facebook em 2018, onde a vulnerabilidade de um aplicativo de terceiros expôs os dados do usuário.

No entanto, a crescente dependência das APIs representa riscos cibernéticos significativos para as empresas de tecnologia, uma vez que as APIs costumam transmitir informações sensíveis entre os sistemas.

Quaisquer vulnerabilidades na segurança da API podem ser exploradas para obter acesso não autorizado a dados de usuários ou bancos de dados da empresa, e mecanismos inadequados de autenticação e autorização podem expor as APIs a ataques como recuperação ou manipulação não autorizada de dados.

Violação da API do Dropbox: Em 1º de novembro de 2022, hackers conseguiram acessar repositorios de código interno do GitHub do Dropbox.

Isso permitiu aos hackers acessar 130 códigos de repositórios internos, alguns contendo chaves de API e dados de usuários.

Os hackers enviaram um e-mail imitando o CircleCI, um pipeline popular para CI/CD, para o ataque de phishing.

Os usuários foram então levados para uma página falsa do CircleCI, onde foram solicitados a inserir suas credenciais do GitHub.

Em seguida, foi enviado a eles uma senha de uso único, que foram solicitados a inserir.

Felizmente, parece que nenhum dado do usuário foi acessado na violação da API do Dropbox.
Os hackers foram limitados a baixar repositórios de código do GitHub, o que é uma má notícia para eles, mas uma notícia melhor para os usuários do DropBox.

Atualmente, os varejistas fazem mais da metade de seus negócios online e adotaram o uso de APIs para revolucionar suas operações e oferecer experiências de compra aprimoradas para os clientes.
Esta indústria utiliza as APIs para conectar perfeitamente seus sistemas online e nas lojas, integrar serviços de terceiros e otimizar vários aspectos de seus processos de negócios.

Para as empresas de varejo, as APIs facilitam o gerenciamento de inventário em tempo real em múltiplas localidades, permitindo que os clientes verifiquem a disponibilidade do produto online antes de visitar uma loja física.

Além disso, as APIs acionam recomendações personalizadas, possibilitando que os varejistas sugiram produtos com base nas preferências e no histórico de navegação do cliente, aumentando assim as oportunidades de venda cruzada e venda adicional.

Na maioria dos setores de varejo atualmente, as APIs desempenham um papel vital na otimização dos processos de pedido e entrega.

Aplicativos móveis e sites geralmente se integram com sistemas de pontos de venda por meio de APIs, permitindo que os clientes façam pedidos remotamente e recebam atualizações precisas sobre o status de seus pedidos.

Integrações de terceiros, embora aprimorem a funcionalidade, introduzem uma camada adicional de risco se as APIs que se conectam com os serviços de terceiros estiverem expostas.

Violação da API da Peloton: Em maio de 2021, um pesquisador de segurança descobriu que podia fazer solicitações não autenticadas às APIs de back-end da Peloton que eram usadas pelo equipamento de exercícios relacionado e pelos serviços de assinatura.

Era possível acessar diretamente os pontos de extremidade da API da Peloton e obter quantidades significativas de Informações de Identificação Pessoal (PII), resultando em impactos de privacidade para os clientes da Peloton.

Os aplicativos da web e para dispositivos móveis da Peloton criados como parceiros para o equipamento de exercício da Peloton usavam essas APIs de back-end para fornecer estatísticas de treino e agendamento de aulas.

A Peloton acabou remediando as questões da API, mas não está claro quantos clientes da Peloton podem ter tido suas informações pessoais divulgadas.

As APIs transformaram a maneira como os aplicativos de software interagem e funcionam, oferecendo eficiência e inovação em todas as indústrias.

No entanto, seu uso generalizado também introduziu novos e complexos desafios de segurança cibernética.

O potencial de acesso não autorizado a dados, interrupção de serviços e comprometimento de sistemas inteiros torna as APIs um alvo principal para os cibercriminosos.

Como visto nos exemplos acima, controles de segurança de API inadequados podem levar a violações significativas com consequências de longo alcance.

Para mitigar os riscos representados pelas APIs, as organizações devem priorizar medidas robustas de segurança.

Isso inclui a implementação de mecanismos fortes de autenticação e autorização, atualização e correção regulares das APIs, criptografia de dados sensíveis durante o trânsito e realização de avaliações de segurança completas, como testes de penetração e revisões de código.

Além disso, as organizações devem estabelecer protocolos de segurança abrangentes para a integração de APIs de terceiros e garantir o monitoramento contínuo para detectar e responder

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...