APIs desprotegidas: riscos reais para privacidade, LGPD e Segurança da Informação?

APIs: O que são e para quê servem?

Uma API (Application Programming Interface) é um conjunto de protocolos e ferramentas que permite a comunicação entre diferentes sistemas e aplicativos.

APIs estão presentes em diversos softwares, seja provendo dados à terceiros, ou, consumindo dados de terceiros. Elas permitem que os aplicativos das mais diferentes origens se integrem e compartilhem informações de maneira eficiente, sem a preocupação de plataforma ou uso “final” do dado.

No modelo de APIs, para cada requisição em formato pré-determinado há uma resposta equivalente.

Estudo da Salt Security  do primeiro trimestre de 2023 aponta crescimento de 400% em ataques às APIs de clientes

Apesar de possibilitar a integração simplificada entre sistemas e plataformas, as APIs também podem apresentar riscos significativos de segurança. Um estudo da empresa Salt Security descobriu que uma enorme quantidade de APIs (94%) apresentava pelo menos uma vulnerabilidade.

Entre elas, podemos ver problemas como acesso não autorizado, vazamento de dados, injeção de código malicioso e autenticação fraca.

Os riscos de invasão e vazamento de dados através de APIs são especialmente preocupantes porque elas podem ser usadas por um grande número de aplicativos e serviços. Se uma API for comprometida, os dados compartilhados por todos os aplicativos que a usam podem estar igualmente em risco.

Algumas das principais vulnerabilidades identificadas pela Salt Security incluem:

• • Autenticação fraca ou ausente: as APIs muitas vezes exigem autenticação para acessar informações, mas se a autenticação não for forte o suficiente, um invasor pode facilmente contorná-la.
  • Dados sensíveis sendo transmitidos em texto claro: se os dados forem transmitidos em texto claro, eles podem ser facilmente interceptados por um invasor.
  • Injeção de código malicioso: se um invasor puder injetar código malicioso em uma API, eles podem roubar dados ou controlar a API para realizar ações maliciosas.

Protegendo suas APIs: Uma estratégia de mitigação de riscos cibernéticos

Para proteger as APIs contra acessos não autorizados e vazamentos de dados, existem várias melhores práticas de segurança que podem ser seguidas, como as apresentadas no artigo “10 API security guidelines and best practices“. Alguns exemplos incluem:

• • Usar autenticação forte: credenciais de acesso devem ser complexas e atualizadas regularmente. Também é recomendável usar autenticação de dois fatores sempre que possível e métodos não dependentes de usuário e senha.
  • Criptografar dados sensíveis: todos os dados sensíveis devem ser criptografados para que possam ser transmitidos com segurança.
  • Implementar monitoramento e auditoria: as atividades de acesso à API devem ser monitoradas para detectar comportamentos anormais ou atividades suspeitas, idealmente com a configuração de alertas.
  • Atualizar regularmente: é importante manter as APIs atualizadas com as últimas correções de segurança e patches.
  • Limitar o acesso: as APIs devem ser configuradas para permitir apenas o acesso necessário. O acesso de leitura deve ser restrito para dados que são realmente necessários e a escrita de dados deve ser ainda mais limitada. Idealmente, APIs de leitura e escrita devem ser segregadas e individualizadas, ou seja, uma API permite somente leitura e outra somente escrita. Aqui também vale mencionar o conceito de minimização de dados e disponibilizar o mínimo necessário de informações para a execução de determinada tarefa.
  • Limitar a quantidade de requisições: Implementar rate-limiting, além de proteger a infraestrutura, pode ajudar a reduzir danos de acessos indevidos.

Para proteger as APIs contra invasões e vazamentos de dados, é importante sempre seguir as melhores práticas de segurança, estar vigilante e demonstrar uma postura proativa na implementação de melhorias e correções.

Descobrindo atividades suspeitas em suas APIs: Indicadores e medidas de mitigação

Identificar se uma API foi comprometida não é uma tarefa simples, mas existem indicadores de que podem nos ajudar com esta análise. Aqui estão alguns comportamentos a serem observados:

• • Funcionamento ou Performance incomum: Se uma API começa a se comportar de maneira estranha ou inesperada, pode ser um sinal de que algo está errado. Por exemplo, pode haver um aumento súbito no tráfego ou na atividade, ou pode haver chamadas repetitivas ou incomuns para um determinado serviço.
  • Registros incomuns ou suspeitos: Analisar logs sempre oferece insights valiosos. Preferencialmente através de softwares automatizados. Aqui, por exemplo, podemos identificar um aumento no número de tentativas de autenticação rejeitadas, ou pode haver uma atividade excessiva de um endereço IP específico.
  • Dados alterados ou corrompidos: Se os dados retornados pela API parecem diferentes ou incompletos, diferente do que o esperado, pode ser um sinal de que a API foi comprometida e os dados foram alterados ou corrompidos.
  • Mensagens de erro incomuns: Se mensagens de erro incomuns ou inesperadas começarem a ser exibidas, pode ser um sinal de que algo está errado. Por exemplo, pode haver mensagens indicando que a API não pode acessar um banco de dados ou serviço específico, o que pode indicar que um invasor está tentando acessar informações não autorizadas.
  • Atividades maliciosas: Se um invasor conseguiu acessar uma API, ele pode manipular os dados na maneira mais extensa que o serviço permitir, comprometendo a integridade de dados ou, extraindo massas de dados. Havendo evidências, recomenda-se desativá-la temporariamente até que a implementação de medidas corretivas seja feita.

Se houver suspeitas de que uma API foi comprometida, é importante agir rapidamente para limitar os danos.

Isso pode envolver desativar a API, notificar as autoridades relevantes e investigar a causa da invasão. Além disso, é importante implementar medidas de segurança adicionais para evitar futuras violações.

No caso de ter de notificar autoridades relevantes, ter um relacionamento próximo com o DPO, ajuda. Consulte nossos serviços de DPO-as-a-Service.

Quais ferramentas podem ser usadas para monitorar e proteger APIs?

Ferramentas para monitorar e proteger APIs não faltam. Algumas delas são:

• • API Gateways: Camada de segurança que fica entre as APIs e os usuários finais, ajudando a proteger os serviços de ataques. Os Gateways podem ser configurados para monitorar o tráfego de dados em tempo real, aplicar políticas de segurança e autenticação, controlar o acesso a recursos da API e prevenir ataques comuns, como os de injeção SQL.
  • Firewalls de Aplicativos Web (WAF): Os WAFs são projetados para proteger as aplicações web e as APIs contra ameaças conhecidas, como injeção de código malicioso, ataques de negação de serviço (DDoS) e outros tipos de exploração de vulnerabilidades. Os WAFs monitoram o tráfego de entrada e saída da API em busca de padrões suspeitos e bloqueiam o tráfego que possa representar uma ameaça.
  • Soluções de Gestão de Identidade e Acesso (IAM): Soluções deste tipo permitem que os usuários finais se autentiquem e autorizem o acesso ao serviço usando credenciais seguras. As soluções IAM também podem ser configuradas para impor políticas de acesso baseadas em funções, o que limita o acesso de usuários específicos a recursos da API específicos.
  • Entre outros.

Essas são apenas algumas das muitas ferramentas que podem ser utilizadas para monitorar e proteger nossos serviços na internet. A escolha da ferramenta certa depende das necessidades específicas da sua organização e do nível de segurança que você deseja atingir.

Esperamos que este artigo tenha sido relevante para você!