Дані під загрозою: уразливості API
Ми кожен день стикається з Application Programming Interface (API) - інтерфейс програмування додатків, і навіть цього не підозрюємо. Часто при створенні своєї web-сторінки компанії використовують вже готові рішення, які є на ринку. Більшість сучасних сайтів впроваджують принаймні кілька сторонніх API. Як це працює для простого користувача? Наприклад, здійснюючи покупку в інтернеті, як тільки ми натискаємо кнопку «оплатити», сайт з'єднує нас з платіжною системою. Ця оплата йде через сторонній API.
Простими словами, інтерфейс програмування додатків допомагає двом програмам обмінюватися інформацією і виконувати певні функції.
Судячи з кількості інцидентів, пов'язаних з API, компаніям давно пора подбати про безпеку даних, які передаються з його допомогою. Давайте згадаємо топ-10 кейсів з уразливими інтерфейсу програмування додатків:
1. API Google Analytics в якості вектора атаки
Є такий інструмент Content Security Policy (CSP). Він використовується для захисту веб-додатків від вразливостей на стороні клієнта і атак Magecart. Справа в тому, що CSP не зовсім сумісна з API Google Analytics. Але так як Google Analytics широко використовується на веб-сайтах для збору статистики і даних для прийняття бізнес-рішень, його домен зазвичай поміщається в список дозволених CSP. Це і відкриває можливості для кіберзлоумишленніков. Висновок: слід завжди враховувати ризики використання API стороннього виробника.
2. Недоліки API YouTube
При завантаженні відео в Video Builder інструмент показував список каналів облікового запису і дозволяв користувачу вибрати потрібний. Якщо використовувати API безпосередньо для відправки ідентифікатора каналу, який вам не належить, можна завантажити відео під іншим користувачем. YouTube не перевіряв дозволу і завантажував відео на обраний канал.
3. Баг API Twitter
Публікація твіту в пості Fleet дозволяє ділитися контентом, який зникне через 24 години. Принаймні все так думали. Насправді ці пости були фактично відфільтровані на рівні призначеного для користувача інтерфейсу. При зверненні до API Fleet з вичерпаним терміном дії, сповіщення про прочитання не приходили власникам, залишаючи їх в невіданні.
4. Множинні уразливості Tesla Backup Gateway APIs
Tesla Backup Gateway - платформа для управління сонячними батареями або акумуляторами. Вона визначає, коли заряджати батареї, відправляти енергію назад в електромережу, і яку комбінацію сонячної енергії, енергії батарей і мережі використовувати для харчування вдома. Система підключена до мережі інтернет і з'ясувалося, що деякі з API не вимагають аутентифікації. Це означає, що відкрито надаються дані про споживання і виробництві енергії (ім'я, країна і штат, назва комунальної компанії і т.д.).
5. Уразливості в системі управління автомобілем Mercedes Benz
Дослідники отримали доступ до внутрішньої мережі Mercedes-Benz E-Class через цифрову sim-карту (eSIM) і виявили ряд вразливостей. Щоб підключитися, їм довелося повторно використовувати налаштування APN (ідентифікатор мережі пакетної передачі даних), підробляти номера IMEI (міжнародний ідентифікатор мобільного обладнання), а також знаходити і повторно використовувати сертифікати. Однак, подолавши всі ці перешкоди і встановивши з'єднання, вони виявили, що самі API абсолютно не захищені.
6. Витоку даних готелю і казино MGM Grand
Оголошення про продаж даних клієнтів MGM Grand розмістив хакер в даркнет ще в 2019 році. Але як він їх дістав? Схоже, що інформація потрапила в його руки через витік даних в Data Viper, платформі безпеки, яку використовувала MGM. Data Viper в свою чергу втратила свою базу даних в результаті неякісного API-кодування. Ще один привід задуматися про безпеку в контексті використання сторонніх постачальників послуг.
7. Уразливість в Facebook
Через неправильно налаштованого API GraphQL, в Facebook з'явилася приваблива для зловмисників вразливість. Будь-який користувач міг змінювати ім'я іншої людини на його особистій сторінці. І хоча це не пряма витік даних, але шахраї могли використовувати таку вразливість, щоб видати себе за інших людей і отримати доступ до приватної інформації.
8. Сторонній додаток розсекретив 8 млн записів провідних торгових компаній
Amazon UK, Ebay, Shopify, PayPal і Stripe - це неповний список компаній, чию записи витекли в мережу. 8 млн даних про покупки були скомпрометовані через вразливостей стороннього постачальника послуг. Він допомагав продавцям об'єднувати дані про продажі і повернень з декількох торгових майданчиків, а також розраховувати податок на додану вартість (ПДВ) для транскордонних продажів в ЄС. Цей інцидент свідчить про небезпеки, пов'язані з передачею даних через API третім особам.
9. Номери телефонів 267 млн користувачів Facebook витекли в мережу
Інцидент стався в грудні 2019 року. База даних, що містить мільйони телефонних номерів користувачів Facebook, була опублікована на хакерському онлайн-форумі. Як стався витік цих даних, невідомо, але одне з припущень - дані були вкрадені з API розробників Facebook до того, як компанія обмежила доступ до телефонних номерів в 2018 році.
10. Особисті дані 1,41 млн американських лікарів продали в даркнеті
Хакери використовували незахищений API на сайті findadoctor.com для збору інформації про 1,4 мільйони американських лікарів. Хоча інформація на самому сайті була загальнодоступною, незахищений API дозволив завантажити її і зробити доступною в структурованому вигляді. Небезпека в тому, що всі ці дані можуть бути використані для проведення подальших атак.