API: ¿está seguro que está 100% seguro?

API

API

Datos en riesgo: vulnerabilidades de API, para analizar el mapa de amenazas.

Nos encontramos con la Interfaz de programación de aplicaciones (API) todos los días y ni siquiera nos damos cuenta.

A menudo, al crear su página web, las empresas utilizan soluciones listas para usar que están en el mercado.

La mayoría de los sitios web modernos implementan al menos algunas API de terceros.

¿Cómo funciona para un usuario simple?

Por ejemplo, al realizar una compra en Internet, en cuanto apretamos el botón “pagar”, el sitio nos conecta con el sistema de pago.

Este pago pasa por una API de terceros.

En términos simples, una interfaz de programación de aplicaciones ayuda a dos programas a comunicarse y realizar funciones específicas.

A juzgar por la cantidad de incidencias relacionadas con la API, es hora de que las empresas se ocupen de la seguridad de los datos transmitidos a través de ella.

Recordemos los 10 casos principales con vulnerabilidades en la interfaz de programación de aplicaciones:

  1. API de Google Analytics como vector de ataque.

Existe una herramienta de política de seguridad de contenido (CSP) de este tipo.

Se utiliza para proteger las aplicaciones web de las vulnerabilidades del lado del cliente y los ataques Magecart.

El caso es que el CSP no es totalmente compatible con la API de Google Analytics.

Pero dado que Google Analytics se usa ampliamente en sitios web para recopilar estadísticas y datos para tomar decisiones comerciales, su dominio generalmente se coloca en la lista de CSP permitidos.

Esto abre oportunidades para los intrusos cibernéticos.

Conclusión: siempre debe considerar los riesgos de utilizar una API de terceros.

  1. Desventajas de la API de YouTube

Al subir un video a Video Builder, la herramienta mostraría una lista de los canales de la cuenta y permitiría al usuario seleccionar el deseado.

Si usa la API directamente para enviar un ID de canal que no es de su propiedad, puede subir el video como un usuario diferente.

YouTube no verificó los permisos y subió el video al canal seleccionado.

  1. Error de la API de Twitter

Tuitear a una publicación de Fleet te permite compartir contenido que desaparece después de 24 horas.

Al menos todo el mundo pensaba que sí.

De hecho, estas publicaciones se filtraron en el nivel de la interfaz de usuario.

Al acceder a la API Fleet caducada, los propietarios no recibieron los recibos de lectura, lo que los dejó en la oscuridad.

  1. API de Tesla Backup Gateway Varias vulnerabilidades

Tesla Backup Gateway es una plataforma de gestión de baterías o energía solar.

Determina cuándo cargar las baterías, enviar energía de regreso a la red y qué combinación de energía solar, de batería y de la red se utilizará para alimentar el hogar.

El sistema está conectado a Internet y resultó que algunas de las API no requieren autenticación.

Esto significa que los datos de producción y consumo de energía (nombre, país y estado, nombre de la empresa de servicios públicos, etc.) se proporcionan al público.

  1. Vulnerabilidades en el sistema de control de vehículos Mercedes Benz.

Los investigadores accedieron a la red interna del Mercedes-Benz E-Class a través de una tarjeta SIM digital (eSIM) y descubrieron una serie de vulnerabilidades.

Para conectarse, tuvieron que reutilizar la configuración de APN (ID de red de paquetes de datos), falsificar números de IMEI (identidad internacional de equipos móviles) y buscar y reutilizar certificados.

Sin embargo, después de superar todos estos obstáculos y establecer una conexión, descubrieron que las API en sí no estaban completamente seguras.

IT CONNECT LATAM

Información de valor para crear una industria sustentable
  1. Fugas de datos de hoteles y casinos MGM Grand.

El anuncio de la venta de los datos de los clientes de MGM Grand fue publicado por un pirata informático en la darknet en 2019. 

Pero, ¿cómo los consiguió?

Parece que la información terminó en sus manos debido a una violación de datos en Data Viper, la plataforma de seguridad que usaba MGM.

Data Viper, a su vez, perdió su base de datos como resultado de una codificación API de baja calidad. Otra razón para pensar en la seguridad en el contexto del uso de proveedores de servicios externos.

  1. Vulnerabilidad de Facebook

Debido a una API GraphQL mal configurada, apareció una atractiva vulnerabilidad en Facebook.

Cualquier usuario puede cambiar el nombre de otra persona en su página personal.

Aunque no se trata de una filtración directa de datos, los estafadores podrían utilizar esta vulnerabilidad para hacerse pasar por otras personas y obtener acceso a información privada.

  1. Una aplicación de terceros ha expuesto 8 millones de registros de las principales empresas comerciales.

Amazon UK, Ebay, Shopify, PayPal y Stripe son solo una lista parcial de empresas cuyos registros se han filtrado en línea.

8 millones de datos de compra se vieron comprometidos debido a vulnerabilidades de un proveedor de servicios externo.

Ha ayudado a los vendedores a combinar datos de ventas y devoluciones de múltiples mercados y a calcular el impuesto al valor agregado (IVA) para las ventas transfronterizas en la UE.

Este incidente demuestra los peligros asociados con la transferencia de datos a través de la API a terceros.

  1. Los números de teléfono de 267 millones de usuarios de Facebook se han filtrado en línea.

El incidente tuvo lugar en diciembre de 2019. Una base de datos que contiene millones de números de teléfono de usuarios de Facebook se publicó en un foro en línea de piratas informáticos.

Se desconoce cómo se filtraron estos datos, pero una de las suposiciones es que los datos fueron robados de la API de desarrolladores de Facebook antes de que la compañía restringiera el acceso a los números de teléfono en 2018.

  1. Los datos personales de 1,41 millones de médicos estadounidenses se vendieron en la darknet.

Los piratas informáticos utilizaron la API no segura de findadoctor.com para recopilar información sobre 1,4 millones de médicos estadounidenses.

Aunque la información del sitio en sí estaba disponible públicamente, la API no segura permitió que se descargara y se pusiera a disposición de forma estructurada.

El peligro es que todos estos datos se pueden utilizar para lanzar más ataques.

Ahora bien, si Usted cree que una API puede no ser segura, ¿se imagina un código QR?

API

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Proin convallis justo vitae congue mattis.

Nunc quis est sagittis, sollicitudin mauris quis, accumsan leo. Pellentesque hendrerit sapien in consequat dictum.

Phasellus lorem metus, tempus tempor placerat a, cursus nec odio. Phasellus ac lacus eget augue iaculis efficitur in et tellus.

Donec orci urna, porttitor tincidunt tincidunt sit amet, vehicula in odio. Nunc venenatis pretium justo, quis sodales dui vehicula eget. Etiam in luctus velit.

Aliquam sit amet cursus metus, vel bibendum eros. Nullam lobortis quis enim dignissim finibus.

Interdum et malesuada fames ac ante ipsum primis in faucibus.

Vestibulum vestibulum massa diam, et consectetur ex tempor quis.

Mauris leo nisi, molestie nec consectetur in, scelerisque quis arcu. Aenean vel fermentum nisi.

Vivamus a nisi ut sem iaculis vestibulum ut in odio. Quisque in aliquam risus, vel faucibus massa.

Mauris arcu ante, dapibus et urna nec, ultricies placerat erat. Nullam mollis tellus sed iaculis posuere.

Proin bibendum arcu odio, vitae dignissim tellus fringilla vitae. Quisque libero ante, consequat sit amet tincidunt nec, suscipit vitae sapien.

Etiam convallis lacus ut ex scelerisque, in congue nibh varius. Sed orci ipsum, finibus sit amet aliquam in, fermentum quis ante.

Aliquam cursus lorem ut sem varius semper. Integer sem eros, sagittis in arcu semper, laoreet pharetra nisi.

Sed faucibus non lorem nec malesuada. In et ex in justo consequat convallis.

Aliquam iaculis nec risus in aliquam. Integer cursus vulputate metus nec mattis. Aliquam faucibus tempor felis, id pulvinar nisi molestie quis.

Quisque est eros, vehicula sed sodales sit amet, consequat ac enim. Quisque purus velit, ornare vel viverra quis, sollicitudin non mauris.

Aenean eu pretium diam. Pellentesque eu justo id purus iaculis sodales. Ut tempus augue in eleifend suscipit.

Quisque et sodales risus. Etiam vehicula at odio eget sodales. Vestibulum ut ex luctus, lobortis velit in, fringilla mauris.

Etiam hendrerit sagittis nibh id egestas. Curabitur in nisi suscipit, malesuada felis nec, malesuada sem.

Aenean semper tortor vel quam porttitor pharetra.

Aliquam et ligula est. Aliquam cursus leo et porta vestibulum. Aenean pretium orci vel fermentum auctor.

Curabitur rhoncus pretium vehicula. Ut at nisl ante. Sed id venenatis risus. Integer porta suscipit purus et posuere.

Etiam viverra posuere tincidunt.

In iaculis justo eu tristique congue. Aenean dictum est sed quam efficitur volutpat. Ut hendrerit vel sem sit amet consectetur.

Pellentesque ac efficitur dui. Integer ipsum odio, feugiat eget ornare nec, porttitor sed tellus. Donec eleifend consequat massa eu gravida. Integer ut dui pharetra, convallis nibh sed, fringilla arcu.

Nulla consequat, odio ac luctus tincidunt, arcu ex tempor mauris, viverra vestibulum orci velit ac nibh.

Nulla sollicitudin dolor vel felis ullamcorper, ut finibus odio ultrices.

Aenean ac libero massa. Ut maximus erat vel ante aliquet molestie. Nunc auctor sit amet nibh eu dignissim.

Nullam fringilla turpis quis lectus feugiat gravida. Vestibulum ac ligula non ligula cursus sollicitudin.

Aliquam erat volutpat. Phasellus sodales feugiat turpis, eget aliquet metus consequat sed. Duis nec tempor eros.

Nunc quam enim, ultrices nec lorem sed, sagittis pharetra nisl. Donec magna libero, aliquet vel aliquet sed, aliquam in orci.

Duis gravida tincidunt commodo.

Sed eu nulla enim. Aenean facilisis feugiat sagittis. Cras lacinia lectus et cursus tristique.

Phasellus eros nisl, ullamcorper eu eros ac, tempus tempor libero. Donec ut risus est. Vivamus suscipit rutrum est.

Ut tempus ligula at posuere rhoncus. Aenean ultrices lacinia placerat. Quisque vitae tempor tellus.

Nam placerat mi vel leo consectetur tincidunt.

Maecenas scelerisque id leo sit amet posuere. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.

Nullam convallis odio odio, sit amet blandit eros malesuada convallis. Quisque pretium, dui eu congue facilisis, nisi quam molestie neque, nec interdum nunc odio at lorem.

Vivamus luctus sollicitudin tortor eget pulvinar.

Duis iaculis maximus ante, non aliquet enim aliquam in. Mauris suscipit ex eros, in euismod orci facilisis ut.

Quisque aliquam porta tellus, sit amet eleifend ligula iaculis id. Maecenas finibus mauris at ante mollis luctus.

In dolor orci, luctus ut eros quis, eleifend condimentum lorem. Proin egestas risus a fringilla viverra. Nunc suscipit metus eget vestibulum tincidunt.

Vestibulum rutrum odio erat, nec laoreet ligula porttitor porttitor. Orci varius natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus.

Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos.

Morbi aliquet, nunc vel scelerisque aliquet, dolor magna convallis mi, ac malesuada nulla lacus eu diam.

Vestibulum pellentesque eu elit et lobortis.

Aenean pellentesque varius aliquet. Quisque tincidunt arcu sit amet pulvinar aliquam. Suspendisse mollis mauris nisl, eget vestibulum sapien laoreet in. Ut eu leo ex.

In pretium, neque quis feugiat mollis, felis quam aliquam diam, non scelerisque mauris libero ut felis.

Nulla scelerisque a odio et volutpat. Nunc sed magna at risus luctus consectetur.

Praesent auctor turpis eu fermentum rhoncus. Ut porta vitae odio id facilisis. Maecenas pellentesque auctor nisl.

Curabitur ultricies pellentesque orci, quis convallis arcu pellentesque eu. Cras congue efficitur odio, in lacinia odio bibendum ut.

Sed eu malesuada sem, a scelerisque erat. Mauris sodales orci at augue fringilla, sed aliquam mauris ullamcorper.

Donec mauris orci, aliquam et auctor quis, convallis a dui. Phasellus elementum est sapien, et auctor nisi fringilla quis.

Aliquam erat volutpat. Phasellus at nisi rhoncus, fermentum elit eu, dapibus arcu. Sed varius consectetur enim, vitae pulvinar mi iaculis non.

Aenean egestas est risus, et eleifend dui vulputate eu. Integer sit amet sem quis tellus ullamcorper congue.

Sed egestas consectetur aliquam. Sed ac luctus mauris.

Suspendisse rutrum, enim feugiat dictum euismod, nulla purus mattis ipsum, nec fermentum odio tellus vitae dolor. Sed erat magna, euismod eget consequat sit amet, hendrerit in mauris.

Praesent varius sit amet erat id pellentesque. Cras nec massa neque. Aenean suscipit id lorem quis aliquet.

Etiam aliquet pharetra erat, sit amet porta velit lacinia quis. Nullam sed aliquam magna. Etiam placerat finibus nisi, ac iaculis nisi efficitur quis.

Praesent efficitur varius massa vel porta. Vestibulum porta lacinia libero at commodo. Nullam cursus commodo massa, quis condimentum orci auctor non.

Aliquam et est velit. Cras mauris velit, fringilla quis enim a, feugiat mollis risus. Aenean magna sapien, posuere sed tincidunt mollis, fringilla quis nibh.

Aenean tincidunt vitae ante vitae accumsan. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed vel ligula ut diam condimentum aliquet et nec diam. Aliquam a nulla nec dui aliquam vehicula. Aliquam congue dolor ut urna feugiat placerat. Suspendisse condimentum ex eu ligula tristique congue. Proin magna orci, porta nec tellus eget, accumsan dapibus nulla. Integer pulvinar vestibulum tellus. Mauris porta mollis faucibus.

Ut nec leo sagittis, facilisis lacus nec, tempor risus. Quisque eros dolor, consequat in leo ut, tempus lobortis libero. Phasellus eu rutrum elit. Nunc suscipit venenatis arcu, sed ultricies sem aliquet non. Integer sollicitudin porttitor tincidunt. Curabitur sollicitudin aliquam magna, ac congue erat. Cras tincidunt ipsum sed est dapibus ultricies in quis nisl.

Mauris pharetra, metus quis efficitur feugiat, diam diam maximus tellus, ut convallis leo mauris vitae est. Proin congue elit eget nisl luctus consectetur. Aliquam eget nisl et leo feugiat sagittis ut a lacus. Vivamus urna odio, varius eget lacus eu, varius efficitur dui. Pellentesque id turpis ut ligula finibus placerat. Nullam vulputate eleifend diam quis vestibulum. Ut gravida metus lorem. Donec diam justo, feugiat id felis et, vestibulum fermentum augue. Donec vel augue erat. Curabitur eu fringilla ante.

Vivamus et accumsan massa. Vivamus vel dolor quis neque auctor posuere. Integer fringilla eros ac rutrum efficitur. Donec sagittis vel augue sed bibendum. Etiam sit amet odio at massa molestie luctus. Nam nec magna a lorem feugiat rutrum et ut orci. Nunc nec semper tortor, sollicitudin lacinia metus.

Cras nec lorem diam. Etiam molestie ex a sapien mollis mattis sit amet nec orci. Nulla id elit et lorem facilisis lacinia ac ac elit. Aenean laoreet pulvinar tempor. Maecenas malesuada dolor eget malesuada consectetur. Donec volutpat venenatis sapien eget accumsan. Curabitur eu rhoncus tellus, sed tincidunt magna. Proin ut est nibh. Nullam nec iaculis ex, id molestie enim. Sed turpis nisi, interdum vitae venenatis lacinia, euismod in justo. Nunc molestie ex eget erat iaculis, et laoreet turpis dictum. Mauris rutrum diam quis neque hendrerit, ac hendrerit erat vulputate.

Vestibulum a ante diam. Nullam posuere arcu eu mi ultricies, sed lacinia nisl imperdiet. Etiam sit amet tincidunt metus. In ligula risus, porta sit amet scelerisque at, tincidunt nec tellus. Sed vitae ipsum elit. Ut sed felis ac erat congue mattis. Fusce sed luctus nulla. Suspendisse ac aliquam libero. Praesent vestibulum ac libero eget vestibulum. Morbi tristique dui ac tellus iaculis aliquam. Ut blandit, turpis tincidunt ullamcorper consectetur, nunc massa iaculis enim, vel rhoncus mi dui nec purus. Fusce volutpat tristique placerat.

Nunc at lorem vel turpis fringilla consequat. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Cras eleifend leo tincidunt auctor commodo. Aliquam aliquet posuere posuere. Fusce eget pellentesque odio. Phasellus iaculis efficitur lorem, in consequat metus rhoncus vel. Pellentesque non libero leo. Aliquam libero magna, egestas nec nulla id, fermentum facilisis turpis. Phasellus et arcu tellus. Donec tempor id tortor eu pulvinar. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos.

100 / 100