Dopo le recenti notizie relative alla divulgazione da parte di T-Mobile di una violazione dei dati di circa 37 milioni di account di clienti attuali attraverso una delle sue Application Programming Interfaces (API), ecco la riflessione sui rischi per la sicurezza delle API di Stefan van der Wal, Consulting Solutions Engineer, Application Security di Barracuda Networks.
“Una API (Application Programming Interface) è un’interfaccia software che consente a due applicazioni di comunicare tra loro. Le API accelerano lo sviluppo di nuove versioni delle applicazioni e ne estendono l’usabilità, quindi non sorprende che le organizzazioni si siano orientate verso questa soluzione. Tuttavia, le API creano anche una nuova e ampia superficie di attacco per i criminali informatici poiché offrono accesso diretto a tutti i dati sensibili dell’applicazione.
Le applicazioni basate su API pubbliche sono particolarmente vulnerabili. Infatti, una recente ricerca realizzata da Barracuda sulla sicurezza delle applicazioni ha rilevato che il 77% delle organizzazioni che utilizzano API pubbliche per i clienti ha subito una o più violazioni nell’arco di 12 mesi come conseguenza diretta di una vulnerabilità dell’applicazione.
Tuttavia, anche le API per esclusivo uso interno sono esposte a questo rischio. Secondo la ricerca, il 56% delle organizzazioni che utilizza API esclusivamente interne è stato oggetto di una violazione una o più volte nell’arco di un anno a causa di un’applicazione vulnerabile. Inoltre, il 44% degli intervistati non sa con certezza dove vengano implementate o utilizzate le API nella propria organizzazione, il che complica la valutazione e la risoluzione dei problemi di sicurezza.
La sicurezza non è riuscita a stare al passo con la crescente velocità di adozione delle API e ciò significa che gli aggressori hanno visto aumentare le opportunità di sfruttare le falle del sistema. Alla base di questo vi sono la mancanza di conoscenza sulla sicurezza delle API, errori di configurazione o dei dipendenti, la convinzione errata che l’utente finale non si accorga della presenza di una API in background e, in molti casi, la diffusione pubblica da parte dei team applicativi di API di prova con accesso diretto ai dati di produzione senza alcuna sicurezza”.
