Áno, ak viete hacknúť rozhranie API, útok cez podvodný telefonát ide naisto. Aj toto sa deje.

Hlasové možnosti rozhrania pre programovanie aplikácií (API) sa používajú v reálnom čase na vykonávanie sofistikovaných automatizovaných telefonických podvodov.

Cielené kybernetické útoky využívajú prirodzene znejúci hlas a interaktívne odpovede. Sú na nerozoznanie od reálnych telefonátov. Spôsobí to, že útočník získava od obetí ľahko citlivé údaje. Útočníci využívajú API, takže je ťažšie odhaliť, že ide o podvod.

Vypočujte si Report bezpečnosti, 494 slov, číta pre vás AI.

Výskumníci z Illinoiskej univerzity poukázali na fakt, že podvody je možné realizovať s nízkymi nákladmi, približne za cenu 0,75 amerického dolára.

OpenAI síce zaručuje ochranu bezpečnostnými opatreniami, ale odborníci zdôrazňujú potrebu regulačných zásahov, aby sme dokázali čeliť rastúcej hrozbe podvodov. Ročne sa obeťami telefonických podvodov stane 17,6 milióna Američanov a náklady dosahujú približne 40 miliárd amerických dolárov.

Rozhrania API sú pre kybernetických útočníkov zlatou baňou. Získavajú kontrolu aj kradnú údaje. profesionáli kybernetickej bezpečnosti bojí na poplach.

Prečo sú API neodolateľné

Rozhranie pre programovanie aplikácií (API) umožňuje prepojenie rôznych softvérových systémov a aplikácií. API je spojením medzi komponentmi a sprístupňuje dáta a funkcie, čím otvára nové možnosti pre používateľov aj vývojárov. A tak sú API atraktívnym cieľom pre kybernetické útoky, keďže poskytuje prístup k backendovým databázam a tie zas obsahujú citlivé informácie.

Dôležitosť API vzrástla spolu s konceptom tzv. composable enterprise, ktorý podporuje modulárny prístup k aplikáciám. Podľa tejto filozofie sa aplikácie skladajú z menších, špecifických komponentov (PBC – packaged business capabilities), ktoré je možné flexibilne kombinovať a prispôsobovať potrebám trhu. Tieto moduly, využívané v mikroslužbovej architektúre, umožňujú podnikom rýchlo inovovať a reagovať na dynamické požiadavky trhu. 

Len si spomeňte na tieto incidenty

Rok 2023 so sebou priniesol hneď niekoľko významných narušení API. Tie až hanebne poukázali na nedostatky v postupoch zabezpečenia.

⮕ Pri narušení spoločnosti T-Mobile došlo k odhaleniu údajov 37 miliónov používateľov. Obrovský únik pripísali slabým kontrolám prístupu, ktoré umožnili neoprávnený prístup k API.

⮕ Severokórejskí hackeri zneužili API spoločnosti JumpCloud a využili ho ako vstupný bod na útoky na firmy zaoberajúce sa kryptomenami. Je to učebnicový príklad nezabezpečených podnikových API.

⮕ Incident v aplikácii Duolingo odhalil milióny používateľských profilov v dôsledku nedostatočne chráneného koncového bodu API.

⮕ Nesprávne nakonfigurované rozhranie API v spoločnosti Twitter spôsobilo, že verejné profily používateľov boli zraniteľné voči neoprávnenému prístupu.

⮕ Významné porušenie súvisiace s API v spoločnosti Optus odhalilo milióny záznamov o zákazníkoch. Vyvolalo to búrlivú diskusiu o bezpečnosti API v telekomunikačnom sektore.

Štvornásobný nárast API útokov

Správa o bezpečnosti API (Salt Security State of API Security Report 2024) poukazuje na výrazný nárast aktivít API a súvisiacich rizík. Prevádzka API sa medziročne zvýšila o 50 percent, zatiaľ čo útoky na API vzrástli o 400 percent.

Až 94 percent organizácií hlásilo aspoň niektoré bezpečnostné problémy súvisiace s API. Okrem toho 59 percent spoločností nemá dostatočný prehľad o svojich ekosystémoch API a 31 percent uvádza ako hlavnú zraniteľnosť nesprávnu konfiguráciu API.

Kde urobili súdruhovia chyby?

Nedostatky v návrhu, konfigurácii alebo implementácii API. To všetko môže vystaviť systémy neoprávnenému prístupu alebo manipulácii. Tieto zraniteľnosti po zneužití umožňujú útočníkom získať kontrolu nad citlivými údajmi alebo kritickými funkciami systému.

Rovnako častým problémom je nedostatočne silná autentifikácia a autorizácia. Rozhrania API bez spoľahlivých overovacích opatrení sú náchylné na neoprávnený prístup, zatiaľ čo slabé autorizačné protokoly môžu útočníkom udeliť nadmerné oprávnenia.

Odhalenie údajov je ďalšou častou zraniteľnosťou. Zlá správa citlivých informácií, napríklad nešifrované prenosy údajov, môže viesť k významným únikom údajov. Ďalším problémom je nedostatočné obmedzenie rýchlosti rozhraní. Bez tejto kontroly čelia DDoS útokom, pri ktorých preťaženie požiadavkami spôsobí, že služba bude pre legitímnych používateľov nedostupná.

Aj nedostatočné zaznamenávanie a monitorovanie môže spôsobiť, že škodlivé aktivity zostanú nepovšimnuté. Ideálne vstupné body pre útočníkov sú aj chybné konfigurácie zabezpečenia. Ponúkajú útočníkom pohľad do systému, čo uľahčuje nájdenie zneužiteľných slabých miest.

Áno, súhlasíme, ale…

Prieskum spoločnosti RapidAPI odhalil, že 97 percent vedúcich predstaviteľov podnikov považuje API za nevyhnutné pre prežitie podniku. Avšak mnohí z nich čelia značným problémom pri realizácii API stratégií. Medzi hlavné ťažkosti patrí zložitá správa API, obavy o bezpečnosť a nedostatok nástrojov na spoluprácu, ktoré komplikujú efektívnu implementáciu.

Vedúci pracovníci uprednostňujú API na zlepšenie zákazníckej skúsenosti, podporu inovácií, ale len 13 percent má centralizované platformy API.

V súčasnosti sú už aplikácie neoddeliteľnou súčasťou komunikácie, riadenia, výroby aj služieb. Ochrana aplikácií si vyžaduje sofistikované nástroje a kontinuálny monitoring.