Vulnerabilidade descoberta pela Salt Security em FinTech nos EUA sublinha a importância da segurança de APIs
8 de abril de 2022Falhas de segurança descobertas pela Salt Labs poderiam sinalizar um caminho a promoção de ataques bem-sucedidos
Falhas de segurança descobertas por pesquisadores do Salt Labs poderiam sinalizar um caminho para os cibercriminosos promoverem ataques bem-sucedidos gerando tremendos prejuízos financeiros.
A Salt Security, empresa líder em segurança de API, anunciou nesta quinta-feira, 7 de abril, novas vulnerabilidades de API descobertas pelo Salt Labs, equipe interna de pesquisa da companhia. Como parte de seu trabalho de educar as empresas sobre as vulnerabilidades de API, foi identificada uma significativa falha de segurança na plataforma digital de uma empresa FinTech sediada nos Estados Unidos. A plataforma entrega uma ampla gama de servicos bancários digitais para milhares de bancos e milhões de clientes.
O trabalho de pesquisa identificou vulnerabilidades de API capazes de permitir o acesso a contas administrativas na plataforma, com possibilidade de vazamento de dados pessoais de usuários, acesso a seus dados bancários e transações financeiras; e também realizar transferências não autorizadas de fundos para suas próprias contas bancárias.
“A investigação do Salt Labs ganha ainda maior relevância pelo fato de esta FinTech oferecer um serviço de transformação digital para bancos de todos os portes, permitindo que eles entreguem online muitos de seus serviços bancários tradicionais, através de uma plataforma já ativamente integrada aos sistemas de muitos bancos e cooperativas de crédito, com seus serviços sendo usados diariamente por milhões de pessoas”, comenta Daniela Costa, diretora de vendas para a América Latina da Salt Security.
Plataformas como este sistema da FinTech são consideradas alvos prioritários por criminosos em busca de vulnerabilidades da API, por duas razões principais. Em primeiro lugar, o universo das APIs com suas funcionalidades é muito rico e complexo, deixando muito espaço para erros no processo de desenvolvimento. Em segundo: se um criminoso tem sucesso em um ataque a este tipo de plataforma, os lucros potenciais são enormes.
“Este caso reforça a importância de sempre se buscar o equilíbrio entre a demanda por uma rápida entrega de uma solução eficiente e a prioridade absoluta que a segurança sempre teve ter, como a fórmula ideal para se mitigar riscos”, pondera Daniela, acrescentando que o emprego de APIs de terceiros é um dos fundamentos do Open Banking.
“Todos os problemas detectados nesta investigação foram corrigidos e faz parte da missão mais ampla do Salt Labs compartilhar as descobertas como forma de aumentar a conscientização em torno das vulnerabilidades das APIs. A análise incluiu detalhes do padrão de ataque e quais as técnicas mais adequadas para aumentar a segurança de API.”
Após destacar que esta FinTech não é um caso isolado, Daniela Costa chama a atenção para o fato de, para evitar fugas de informação sensível e interrupção de serviços, as equipes de segurança e desenvolvimento devem trabalhar em colaboração. “Proteções estáticas, aliadas a análises ao longo do tempo para identificar anomalias no tráfego da API, entregam uma segurança mais eficaz”, conclui Daniela Costa, salientando que “o aspecto mais preocupante nesta situação é que todo o trabalho de pesquisa sobre vulnerabilidades e ataques a APIs que o Salt Labs realizou passou completamente despercebido por esta FinTech”.
Sobre a Salt Security
A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel. Para mais informações, visite https://salt.security.
Novo relatório da WatchGuard revela ataques de rede no ponto mais elevado nos últimos três anos
Trojans e adware são os tipos de malware mais disseminados no Brasil
5G: entenda como a tecnologia vai impactar diversos setores
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!