„Apie 37 mln. „T-Mobile US Inc.“ klientų duomenų pažeidimas įvyko užpuolus API arba taikomųjų programų programavimo sąsają, o tai išryškino daugelio įmonių riziką.
API sujungia programas ir dalijasi informacija daugelyje nustatymų, pvz., mobiliosios programos, kurios prisijungia prie socialinės žiniasklaidos platformos, automobiliai, kuriuos vairuotojai gali atrakinti, naudodami programą, arba užpakalinės technologijos, perkeliančios duomenis per skirtingas informacines sistemas.
Kibernetinio saugumo analitikai ir mokslininkai teigia, kad įmonės pasikliauja API, kai plečia technologijų projektus, dažnai be tinkamų saugumo priemonių.
„Kiekviena jūsų pridėta API yra naujas jūsų bendros atakos paviršiaus priedas“, – sakė kibernetinio saugumo konsultacinės įmonės „Fortalice Solutions LLC“ vadovė Theresa Payton.
„T-Mobile“ ketvirtadienį atskleidė duomenų pažeidimą Vertybinių popierių ir biržos komisijai. Bendrovės pareiškime teigiama, kad pažeista API leido įsilaužėliams pasiekti kai kurių formų klientų duomenis, įskaitant vardus, atsiskaitymo adresus, el. pašto adresus, telefono numerius ir gimimo datas. Bendrovė teigė, kad dėl šio incidento gali „padaryti didelių išlaidų“.
„T-Mobile“ anksčiau buvo įsilaužta 2021 m., kai buvo atskleisti daugiau, nei 50 mln. klientų duomenys. Praėjusiais metais bendrovė pasiūlė sumokėti 350 milijonų dolerių, kad išspręstų kolektyvinį ieškinį, ir įsipareigojo 2022 ir 2023 metais saugumui išleisti 150 milijonų dolerių.
Kitos API neseniai pasirodė pažeidžiamos. Šio mėnesio pradžioje saugumo tyrinėtojas Samas Curry parodė, kad gali nuotoliniu būdu valdyti transporto priemones, įskaitant jų užvedimą ir sustabdymą, kai aptikęs gamintojų, įskaitant Mercedes-Benz Group AG, Porsche Automobil Holding SE ir Bayerische Motoren Werke AG, automobilių API saugumo trūkumus. M. Curry teigė, kad apie pažeidžiamumą bendrovėms pranešė prieš juos viešai atskleisdamas. Gamintojai į prašymus komentuoti neatsakė.
Gruodžio mėn. JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra išplatino patariamąjį įspėjimą įmonėms apie su API susijusį pažeidžiamumą technologijų įmonių tiekėjo Veeam Software gaminyje. Bendrovė išleido saugos pataisą.
„API saugumas yra sritis, į kurią beveik nebuvo atsižvelgta“, – sakė Errolas Weissas, Sveikatos informacijos dalijimosi ir analizės centro, ne pelno siekiančios grupės, leidžiančios sveikatos priežiūros organizacijoms dalytis informacija apie kibernetines grėsmes, vyriausiasis saugumo pareigūnas.
Trūksta supratimo, kaip apsaugoti API už kibernetinio saugumo komandų ribų, o įmonėse gali būti įvairių verslo padalinių, dalyvaujančių kuriant API, sakė M. Payton. Be to, nuo COVID-19 pandemijos pradžios sparčiai plėtėsi technologijų projektai, todėl įmonės dažnai praleidžia kai kuriuos saugumo veiksmus, pridūrė ji.
Iki 2025 m. mažiau, nei pusė įmonių API bus tinkamai valdomos, nes jų augimas nustelbs valdymo įrankių galimybes, 2021 m. prognozuoja „Gartner Inc.“.
Įprasta API saugaus naudojimo praktika apima vartotojo autentifikavimą ir autorizavimą bei jų ryšių šifravimą. Daugelis kompanijų naudoja šias apsaugos priemones, tačiau API tobulinama tiek, kad kai kurios gali būti pasenusios arba nebeprižiūrimos, sakė Berlyno technikos universiteto vyresnysis mokslo darbuotojas Altafas Shaikas, kuris specializuojasi technologijų tyrimuose.
API yra ypač svarbios 5G produktams, o kai kurie telekomunikacijų operatoriai, greičiausiai, nepaisys saugumo, nes skuba pateikti tuos produktus į rinką, sakė jis.
P. Shaik ir kitas tyrėjas rugpjūčio mėnesį išbandė 10 neįvardintų mobiliojo ryšio operatorių API saugumą. Tik vienas aptiko tyrėjų imituotas atakas, o kiti, atrodo, nežiūrėjo į savo API dėl įtartinos veiklos, sakė jis. Jis pridūrė, kad „T-Mobile“ nebuvo tarp išbandytų operatorių.
„Trūksta stebėjimo realiuoju laiku“, – sakė jis." [1]
1. T-Mobile Breach Highlights Security Achilles' Heel of API
Stupp, Catherine. Wall Street Journal, Eastern edition; New York, N.Y. [New York, N.Y]. 24 Jan 2023: B.4.
Komentarų nėra:
Rašyti komentarą