4

Tuần này, chúng tôi xem xét rò rỉ FirstAm, API Nokelock dễ bị tấn công, báo cáo KuppingCole và một số thống kê từ khối lượng bảo mật của báo cáo Trạng thái Internet của Akamai.

Lỗ hổng: Người Mỹ đầu tiên

First American Financial Corp.  đã bị rò rỉ 885 triệu hồ sơ giao dịch thế chấp cho đến khi nó được KrebsOnSecurity thông báo vào tuần trước. Các hồ sơ bị rò rỉ bao gồm thông tin nhạy cảm cao như số an sinh xã hội (SSN), tài khoản ngân hàng, hồ sơ thuế và chi tiết chuyển khoản.

Có lẽ, công ty không muốn bảo mật các tài liệu để đơn giản hóa việc tiếp cận chúng cho tất cả các bên trong một hợp đồng thế chấp. Kết quả là, các bản ghi có thể được lấy chỉ bằng cách đặt một tham số ID tài liệu tuần tự vào URL. Các tham số này là các số nguyên có 9 chữ số bắt đầu bằng 000000075(tham số này có từ năm 2003). Tất cả những gì kẻ tấn công phải làm là tiếp tục tăng tham số này và tải xuống các tài liệu!

Điều này cho thấy “đơn giản hóa” có thể phản tác dụng như thế nào đối với bạn. Thay vào đó, nên sử dụng quyền truy cập vào các đối tác cụ thể với xác thực và ủy quyền thích hợp. Nếu điều này không thể được thực hiện vì lý do kinh doanh, các biện pháp bảo mật khác vẫn có thể được thực hiện, chẳng hạn như:

  • Tách trang web để xem tài liệu khỏi URL tài liệu và bảo vệ trang đó bằng mật khẩu.
  • Tránh các số nhận dạng theo trình tự và thay vào đó sử dụng các ID ngẫu nhiên.
  • Hết hạn quyền truy cập vào các tài liệu cũ hơn.
  • Giám sát quyền truy cập để ngăn chặn nỗ lực tải xuống hàng loạt.
  • Thông báo cho doanh nghiệp về những rủi ro bằng cách sử dụng phân tích rủi ro / lợi ích thích hợp.

Lỗ hổng bảo mật: Nokelock

Các nghiên cứu đã tìm thấy các lỗ hổng API trong các khóa móc hỗ trợ Bluetooth của Nokelock . Đây là những thiết bị rẻ tiền phổ biến nhất thuộc loại đó trên Amazon và được bán dưới một vài thương hiệu khác nhau.

API cho khóa sử dụng lưu lượng HTTP không được mã hóa và khóa API được chia sẻ trên tất cả các tài khoản. Điều này cho phép kẻ tấn công lấy khóa API và sử dụng lại khóa này để chống lại các khóa của khách hàng khác. Kẻ tấn công có thể mở ổ khóa, lấy thông tin người dùng và vị trí GPS của thiết bị hoặc chỉ định lại quyền sở hữu khóa .

Luôn sử dụng HTTPS làm giao thức truyền tải của bạn và xác thực và ủy quyền được cá nhân hóa để ngăn chặn các cuộc tấn công như vậy.

Nhà phân tích: KuppingerCole về bảo mật API

Alexei Balaganski từ KuppingerCole đã phát hành một báo cáo về bảo mật API: " Mặt tối của nền kinh tế API ." Báo cáo chứa các ví dụ chi tiết về các khai thác gần đây, những lầm tưởng phổ biến và các đề xuất bao gồm:

  • Giáo dục là chìa khóa
  • Thiết kế chiến lược API
  • Biết những gì bạn đang bảo vệ
  • API Zero Trust
  • Tự động hóa bảo mật API

Báo cáo là miễn phí với đăng ký.

Xu hướng ngành: Sự trỗi dậy của REST và JSON

Akamai đã phát hành tập An ninh của báo cáo “Tình trạng Internet” hàng năm của họ . Nó có số liệu thống kê hấp dẫn về sự gia tăng nhanh chóng của lưu lượng truy cập API và tác động của nó đối với bảo mật:

  • Lưu lượng truy cập API hiện chiếm 83% tổng lưu lượng truy cập web! Lưu lượng truy cập HTML giảm xuống chỉ còn 17 phần trăm.
  • Đây là mức tăng trưởng đáng kể so với mức 47% chỉ cách đây 4 năm.
  • Hầu hết lưu lượng truy cập API là JSON. XML đang bị suy giảm rất nhiều.
  • Các trình duyệt (ứng dụng web) chỉ nhận được 27 phần trăm lưu lượng truy cập API. Phần còn lại của lưu lượng truy cập là điện thoại thông minh, ứng dụng và thiết bị.

Trích dẫn từ báo cáo:

"Đối với những người thực hành bảo mật, điều này cực kỳ quan trọng - không phải tất cả các công cụ đều có khả năng xử lý sự thay đổi và bạn có thể đang bỏ lỡ một nguồn lưu lượng độc hại chính trong việc phòng thủ của mình."

 

Bạn có thể đăng ký nhận bản tin hàng tuần này tại https://APIsecurity.io

|