Vulnerabilidades apontam importância de APIs. Vulnerabilidade em FinTech nos EUA descoberta pela Salt Security sublinha a importância da segurança de APIs.
Falhas de segurança descobertas por pesquisadores do Salt Labs poderiam sinalizar um caminho para os cibercriminosos promoverem ataques bem-sucedidos gerando tremendos prejuízos financeiros
A Salt Security, empresa líder em segurança de API, anunciou hoje novas vulnerabilidades de API descobertas pelo Salt Labs, equipe interna de pesquisa da companhia. Como parte de seu trabalho de educar as empresas sobre as vulnerabilidades de API, foi identificada uma significativa falha de segurança na plataforma digital de uma empresa FinTech sediada nos Estados Unidos. A plataforma entrega uma ampla gama de servicos bancários digitais para milhares de bancos e milhões de clientes.
O trabalho de pesquisa identificou vulnerabilidades de API capazes de permitir o acesso a contas administrativas na plataforma, com possibilidade de vazamento de dados pessoais de usuários, acesso a seus dados bancários e transações financeiras; e também realizar transferências não autorizadas de fundos para suas próprias contas bancárias.
“A investigação do Salt Labs ganha ainda maior relevância pelo fato de esta FinTech oferecer um serviço de transformação digital para bancos de todos os portes, permitindo que eles entreguem online muitos de seus serviços bancários tradicionais, através de uma plataforma já ativamente integrada aos sistemas de muitos bancos e cooperativas de crédito, com seus serviços sendo usados diariamente por milhões de pessoas”, comenta Daniela Costa, diretora de vendas para a América Latina da Salt Security.
Plataformas como este sistema da FinTech são consideradas alvos prioritários por criminosos em busca de vulnerabilidades da API, por duas razões principais. Em primeiro lugar, o universo das APIs com suas funcionalidades é muito rico e complexo, deixando muito espaço para erros no processo de desenvolvimento. Em segundo: se um criminoso tem sucesso em um ataque a este tipo de plataforma, os lucros potenciais são enormes.
“Este caso reforça a importância de sempre se buscar o equilíbrio entre a demanda por uma rápida entrega de uma solução eficiente e a prioridade absoluta que a segurança sempre teve ter, como a fórmula ideal para se mitigar riscos”, pondera Daniela, acrescentando que o emprego de APIs de terceiros é um dos fundamentos do Open Banking. “Todos os problemas detectados nesta investigação foram corrigidos e faz parte da missão mais ampla do Salt Labs compartilhar as descobertas como forma de aumentar a conscientização em torno das vulnerabilidades das APIs. A análise incluiu detalhes do padrão de ataque e quais as técnicas mais adequadas para aumentar a segurança de API.”
Após destacar que esta FinTech não é um caso isolado, Daniela Costa chama a atenção para o fato de, para evitar fugas de informação sensível e interrupção de serviços, as equipes de segurança e desenvolvimento devem trabalhar em colaboração. “Proteções estáticas, aliadas a análises ao longo do tempo para identificar anomalias no tráfego da API, entregam uma segurança mais eficaz”, conclui Daniela Costa, salientando que “o aspecto mais preocupante nesta situação é que todo o trabalho de pesquisa sobre vulnerabilidades e ataques a APIs que o Salt Labs realizou passou completamente despercebido por esta FinTech”.
Fonte: Salt Security
Veja também:
- O que é gerenciamento de API?
- O que um gateway de API faz?
- O que é Segurança de API
- Ataques API são subdetectados e subnotificados
- Ignore a segurança da API por sua conta e risco
- Compreendendo os fundamentos da segurança de API
- Segurança da API impede o lançamento de novos aplicativos
- O caos (e o custo) provado pelos hackers da Lapsus$
- Consumer Authentication Strength Maturity Model (CASMM) V6
- Como demonstro o ROI do meu programa de segurança?
- Fortinet lança FortiOS 7.2
- Kaspersky é chamado de ameaça à segurança nacional pela FCC
- Ciberataques a dados bancários cresceram 141% no Brasil
- Labs e Ferramentas para Pen Test e Forense
- TRF 3ª Região fica fora do ar devido a ataque hacker
- Sascar é vítima de ciberataque
- The Trust for the Americas e Fortinet se unem para disseminar conhecimento e informação
- HackerOne expulsa o programa de recompensas de bugs da Kaspersky de sua plataforma
- Mais de 90% das organizações tiveram incidente vinculado a um parceiro
Deixe sua opinião!