29% dos ciberataques tem APIs como principal alvo

29% dos ciberataques tem APIs como principal alvo. De acordo com o relatório State of the Internet, o setor do comércio é o principal alvo com 44% dos ataques

Na era da transformação digital, as interfaces de programação e aplicação (APIs) desempenham um papel fundamental para a maioria das empresas, melhorando as experiências dos funcionários e clientes, promovendo a integração, inovação, personalização e acessibilidade dos serviços oferecidos. No entanto, essa transformação está sendo impactada por uma crescente atenção dos cibercriminosos às APIs, conforme destacado pela Akamai em seu último relatório SOTI (State of the Internet) de 2024, intitulado Lurking in the Shadows: Attack Trends Shine Light on API Threats (em tradução livre, Escondido nas Sombras: Tendências de Ataques Revelam as Ameaças às APIs), que revela um panorama em constante mudança de ciberataques direcionados às APIs.

As APIs podem expor dados aos cibercriminosos uma vez que obtenham acesso não autorizado. Por outro lado, APIs vêm sendo fundamentais em recentes evoluções dos negócios, elevando a experiência tanto dos usuários quanto dos provedores. A agilidade e eficiência para os negócios proporcionam a rápida expansão da economia das APIs, mas esse progresso deu aos cibercriminosos novas oportunidades de exploração digital. O relatório revela que esses ataques continuarão aumentando junto com a demanda pelo uso de APIs. 

“Identificar pontos cegos, como APIs ocultas ou não autorizadas, permite que as equipes de segurança abordem vulnerabilidades previamente”, explica Claudio Baumann, Diretor Geral da Akamai Technologies para a América Latina.

Os ataques às APIs não só representam uma ameaça para as empresas, mas também têm um impacto significativo na vida das pessoas. O vazamento de dados confidenciais pode resultar em roubo de identidade, levando a fraudes financeiras e violações de privacidade para os clientes das empresas afetadas. Além disso, a interrupção dos serviços essenciais pode causar frustração e inconveniência para os usuários finais.

“O vazamento de informações de cartão de crédito através de uma API de um aplicativo bancário, por exemplo, pode expor detalhes como números de cartão, informações de transações e saldo da conta, sendo utilizados para outros tipos de golpes”, explica Claudio Baumann.

Aumento dos ataques

Conforme revelado, 29% dos ciberataques do último ano tiveram as APIs como principal alvo. O motivo seria a crescente atenção que os cibercriminosos estão prestando a essas interfaces digitais, se aproveitando das oportunidades criadas pela rápida expansão da economia das APIs. Além disso, é ressaltado que o setor de comércio é o número um em ataques, com 44%.  

Um dos pontos importantes abordados no relatório é o business logic abuse, levantando a difícil tarefa de detectar atividades anormais sem uma linha de base clara. A falta de soluções para monitorar essas anomalias coloca as organizações em risco de sofrer ataques em tempo de execução, como o “data scraping”. 

Desafios de segurança

O relatório identifica três desafios gerais de segurança enfrentados pelas APIs: visibilidade, vulnerabilidade e abuso de lógica empresarial. A falta de controles e processos para garantir a proteção de todas as APIs, bem como a ausência de melhores práticas de desenvolvimento, são reveladas como vulnerabilidades-chave.

Os serviços empresariais ocupam o segundo lugar em risco, com quase 32% dos ataques, destacando os perigos potenciais dos ataques à cadeia de suprimentos. A falta de compreensão sobre as implicações de segurança das APIs em diversas verticais, como o setor de saúde com a Internet das Coisas Médicas (IoMT), adiciona uma camada adicional de ameaças.

Consequências de ignorar a segurança das APIs

O relatório destaca que erros de programação ou configuração, combinados com a rapidez no lançamento de aplicativos e processos empresariais, aumentam o risco de violações de segurança. As ramificações incluem danos à marca, perda de dados confidenciais e problemas de conformidade, destacando a importância crítica da segurança das APIs atualmente. 

“A falta de investimento adequado em segurança de APIs pode ter consequências diretas para clientes e reputação de marca, além de expor empresas a riscos legais, regulatórios e financeiros significativos. Multas, litígios e danos à reputação podem resultar em impactos duradouros. Além disso, um ataque a uma API pode afetar não só a empresa atacada, mas também seus parceiros e clientes”, completa Baumann.

Adoção de práticas de segurança

Implementar controles de acesso robustos, monitorar atividades suspeitas, educar e treinar os funcionários sobre práticas seguras de desenvolvimento e uso de APIs, além de medidas de segurança em todas as etapas do ciclo de vida das APIs são algumas das práticas essenciais contra os ataques às APIs. 

“A segurança das APIs é algo crucial. Ignorar essa segurança não é apenas um erro empresarial, mas uma negligência que pode afetar a confiança dos clientes na marca. É essencial investir em medidas proativas de segurança para proteger não apenas as empresas, mas também os indivíduos que dependem delas”, finaliza Claudio. 

Veja também:

• Sites WordPress visados por nova campanha de malware
• O que acontece com os dados na web depois que alguém morre?
• Mulheres são principal alvo de golpes de relacionamento
• Inteligência artificial em discussão na União Europeia
• Alerta para ataques cibernéticos envolvendo a declaração do Imposto de Renda
• Brasil é o país mais vulnerável a ataques hackers na América Latina
• Boletos e QRCode PIX: novo golpe frauda pagamentos sem infectar o PC
• Ataques de Malware em saúde aumentaram 10% em 2023
• Escola da Nuvem e Instituto PROA formam gratuitamente 143 pessoas
• Resposta a incidentes cibernéticos: processo crítico para a economia digital brasileira em 2024
• Nova pesquisa expõe riscos de segurança em plug-ins ChatGPT
• LGPD: Empresas devem ter estratégia robusta de gestão de vídeos