HACKING

Οι χάκερς εκμεταλλεύονται API για να κλέψουν δεδομένα

This post was originally published on this site

Οι Διεπαφές Προγραμματισμού Εφαρμογών (API) αποτελούν έναν από τους πυλώνες των σύγχρονων διαδικτυακών εφαρμογών, λύσεων που βασίζονται στο cloud και ιστότοπων. Λόγω της δημοτικότητάς τους, τα API συχνά αποστέλλονται χωρίς τις κατάλληλες προφυλάξεις και αντίμετρα, γεγονός που αποτελεί μείζονα παράγοντα κινδύνου για την κυβερνοασφάλεια διαφόρων οργανισμών, καθώς εκμεταλλεύονται από χάκερς.

Δείτε επίσης: Acer παραβίαση δεδομένων: Πωλούνται δεδομένα σε hacking forum

Οι χάκερς έχουν επικεντρωθεί και στρέφουν συχνά τις επιθέσεις τους σε διεπαφές προγραμματισμού εφαρμογών (API) με τις κακόβουλες εκστρατείες τους.

Εχθρικά bots παντού

Αυτά είναι τα συμπεράσματα της έκθεσης “Η Κατάσταση της Ασφάλειας των API το 2024“, μια νέα έκθεση που δημοσιεύτηκε από ερευνητές κυβερνοασφάλειας στην Imperva.

Σύμφωνα με την έκθεση, το 71% όλης της κυκλοφορίας στο διαδίκτυο σήμερα γίνεται μέσω των API. Επιπλέον, η μέση επιχείρηση είχε 1,5 δισεκατομμύριο κλήσεις API το προηγούμενο έτος.

Καθώς γνωρίζουν τα πλεονεκτήματα που μπορούν να προσφέρουν οι διεπαφές API σε μια επιχείρηση, οι οργανισμοί βιάζονται να παρέχουν όσες ψηφιακές υπηρεσίες μπορούν, όσο πιο γρήγορα μπορούν. Σύμφωνα με τους ερευνητές, μια οργάνωση έχει μέσο όρο 613 σημεία πρόσβασης API.

Δείτε ακόμα: Halara: Hacker διέρρευσε δεδομένα 950.000 πελατών

Αυτό τα καθιστά επίσης έναν κίνδυνο. Η καλή είδηση είναι ότι οι επιχειρήσεις είναι ενήμερες και πολλές υιοθετούν πλαισία και διαδικασίες ανάπτυξης λογισμικού για να προστατεύσουν τα προϊόντα τους. Ωστόσο, σε πολλές περιπτώσεις, τα API μετακινούνται στην παραγωγή χωρίς κατάλληλους ελέγχους, αποτελώντας έναν κίνδυνο για την ασφάλεια.

Αντίστοιχα, οι χάκερς έχουν εστιάσει την προσοχή τους και χρησιμοποιούν όλο και περισσότερο τα API στις προσπάθειές τους να κλέψουν ευαίσθητα δεδομένα από οργανισμούς. Ανάμεσα σε διάφορους κλάδους, οργανισμοί στις χρηματοοικονομικές υπηρεσίες και τον online λιανικό τομέα είχαν τις περισσότερες κλήσεις API το περασμένο έτος και συνεπώς, υπέστησαν τις περισσότερες επιθέσεις που σχετίζονται με τα APIs.

Σύμφωνα με τους ερευνητές, συχνά οι χάκερς καταχρώνται τα endpoints του API σε επιθέσεις Account Takeover (ATO). Το περασμένο έτος, σχεδόν το μισό όλων των επιθέσεων ATO (45%) αφορούσε ευάλωτα endpoints του API. Για να γίνουν τα πράγματα ακόμη χειρότερα, αυτές οι επιθέσεις σπανίως γίνονται χειροκίνητα. Αντίθετα, αμέτρητα κακόβουλα bots εκτελούν αυτόματες εργασίες, συνδέονται σε ευάλωτους λογαριασμούς, ανακτώντας ευαίσθητα δεδομένα, και περισσότερα.

Δείτε επίσης: Greater Manchester Police: Δεδομένα αστυνομικών παραβιάστηκαν

Τα APIs, ή οι Διεπαφές Προγραμματισμού Εφαρμογών, χρησιμοποιούνται ευρέως. Μία από τις εφαρμογές τους είναι η επικοινωνία μεταξύ διαφορετικών λογισμικών. Τα APIs επιτρέπουν στα λογισμικά να ‘μιλούν’ μεταξύ τους, διευκολύνοντας την ανταλλαγή δεδομένων και λειτουργιών. Επιπλέον, τα APIs χρησιμοποιούνται για την ενσωμάτωση λειτουργιών τρίτων σε μια εφαρμογή. Τα APIs χρησιμοποιούνται επίσης για τη δημιουργία εφαρμογών για κινητά τηλέφωνα. Αυτά τα APIs επιτρέπουν στους προγραμματιστές να χρησιμοποιούν λειτουργίες που έχουν ήδη αναπτυχθεί, όπως η πρόσβαση στην κάμερα ή το GPS, αντί να τις δημιουργούν από το μηδέν.

Πηγή: techradar

https://www.secnews.gr/security/

%d bloggers like this: