Soru: API’lerin güvenliği ihlal edilirse veya kötüye kullanılırsa kuruluşuma ne olur?
Michael Isbitski, teknik evangelist, Salt Security: API kötüye kullanımının etkileri, veri ihlali ve marka hasarının bariz yanıtlarını içerir, ancak güvenlik pratisyenleri daha birçok endişeyle boğuşuyor. API’nin kötüye kullanılmasının sonucu olan 700 milyon dolarlık Equifax anlaşması, potansiyel iş etkisi için bir ölçüm haline geldi. Son API güvenlik olaylarını gözlemlersek, en büyük etkilerden bazıları veri kaybı, gizlilik erozyonu, hesap ele geçirme, dolandırıcılık ve tedarik zincirinden ödün vermeyi içeriyordu.
API’lerin yeterli kimlik doğrulama ve yetkilendirmeyi zorunlu kılmadığı durumlarda veri kaybı çok yaygındır; bu, kuruluşların API’nin benimsenmesini teşvik etmek için erişim kontrollerini gevşetirken yaptıkları yaygın bir hatadır. Ayrıca, kimlik doğrulama gerektiren API’ler için bile, kötü niyetli aktörlerin API’ler aracılığıyla toplu olarak veri topladığı çok sayıda kazıma olayı gördük. Son kazıma örnekleri arasında Facebook ve LinkedIn’deki API olaylarının yanı sıra, toplu kazıma potansiyelinin güvenlik araştırmacıları tarafından erken ifşa edildiği Experian ve Peloton olayları yer alıyor. Mağdur kuruluşlar için şirket çizgisi genellikle bu olayların bir veri ihlali tanımına uymaması olsa da, düzenleyici dil farklı olabilir ve müşteriler üzerindeki mahremiyet etkileri açıktır.
Saldırganlar ayrıca, kullanıcı kimlik bilgilerini veya hesap devralmalarını (ATO) tehlikeye atmak amacıyla kaba zorlama ve kimlik bilgisi doldurma teknikleriyle API’leri kötüye kullanır. ATO ile ilgili endişe tüm sektörlerde yaygındır, ancak özellikle finansal hizmetleri ve finansal teknolojiyi çok sert vurmaktadır. Saldırgan bir hesabı ele geçirdiğinde, bu erişimi ayrıcalıkları daha da yükseltmek veya diğer sahtekarlıkları sürdürmek için kullanır. API’lerin ilk veya birincil saldırı vektörü olduğu dijital tedarik zinciri saldırıları ve karmaşık saldırı zincirleri de gördük. Saldırganlar API’ler aracılığıyla erişim elde ettikten sonra, bu erişimi diğer sistemleri tehlikeye atmak veya bir kuruluşun ağlarında döndürmek için kötüye kullanırlar. Mart 2021’deki Microsoft Exchange Server saldırıları, bu tür API saldırılarına harika bir örnekti.
