Rapport: Près des deux tiers des organisations ne disposent pas d'une sécurité API de base

décembre 11, 2021 Par admin 0
Rapport: Près des deux tiers des organisations ne disposent pas d'une sécurité API de base

Crédit image: SasinParaksa // Getty Images

Écoutez les DSI, les CTO et d'autres cadres supérieurs et cadres supérieurs sur les données et les stratégies d'IA au Sommet sur l'avenir du travail ce 12 janvier 2022. En savoir plus

Près des deux tiers des organisations n'ont pas au moins une stratégie de base de sécurité des API, selon le dernier rapport de Salt Security. Cette lacune de protection est particulièrement inquiétante car les cyberattaques ciblant les API sont en augmentation parallèlement à l'adoption de technologies relativement nouvelles comme GraphQL. L'adoption de GraphQL a doublé de 2020 à 2021 et continue de s'accélérer. Cependant, la sensibilisation à la sécurité autour de GraphQL est encore relativement faible. Plusieurs aspects de la structure de l'API GraphQL peuvent créer des risques de sécurité qui peuvent être difficiles à évaluer.

Salt Labs, la division de recherche de Salt Security, a identifié une nouvelle vulnérabilité d'autorisation de l'API GraphQL qui peut survenir dans les requêtes d'API imbriquées. Salt Labs a identifié cette vulnérabilité au sein d'une grande plate-forme de technologie financière (fintech) interentreprises, qui propose des services financiers sous la forme d'applications mobiles basées sur des API et de SaaS aux petites et moyennes entreprises ainsi qu'aux marques commerciales. Les chercheurs ont pu lancer des attaques où n'importe quel utilisateur pouvait soumettre des transactions non autorisées contre d'autres clients ou récolter des données client sensibles.

Cette vulnérabilité découverte permet aux attaquants potentiels de manipuler les appels d'API afin d'exfiltrer des données et initier des transactions non autorisées. En outre, les chercheurs ont découvert que certains appels d'API pouvaient accéder à un point de terminaison d'API qui ne nécessitait aucune authentification, permettant ainsi aux attaquants de saisir n'importe quel identifiant de transaction et de récupérer les enregistrements de données des transactions financières précédentes.

Les vulnérabilités de GraphQL sont particulièrement problématiques, car le nombre de développeurs utilisant GraphQL s'accélère. Les API GraphQL sont intrinsèquement difficiles à sécuriser en raison de leur flexibilité et de leur structure uniques, c'est pourquoi Salt Security investit dans cette recherche et fournit des capacités pour répondre aux besoins de sécurité des API dans cet espace.

L'organisation a utilisé GraphQL dans sa pile technologique pour alimenter les activités de compte des clients utilisant des applications mobiles. L'organisation a également tiré parti d'une API tierce pour récupérer les enregistrements des transactions antérieures du compte client. L'implémentation n'a pas réussi à authentifier et à autoriser correctement les clients. En conséquence, les chercheurs de Salt Labs ont pu soumettre des transactions non autorisées contre d'autres clients du fournisseur de services financiers, corréler l'activité des comptes d'utilisateurs et récupérer des informations personnelles sur les clients.

Maintien de l'anonymat de ce fournisseur de services est essentiel, donc les détails techniques qui pourraient identifier l'organisation ont été nettoyés. Après avoir identifié la vulnérabilité, Salt Labs a rendu ses conclusions et a recommandé des mesures d'atténuation à l'organisation conformément aux politiques de divulgation responsable. Dans le cadre de la mission plus large de Salt Labs, la société partage les résultats pour accroître la sensibilisation aux vulnérabilités des API, y compris les modèles d'attaque, les étapes de propagation de l'attaque et la mise en évidence des techniques d'atténuation.

Lisez le rapport complet de Salt Security.

VentureBeat

La mission de VentureBeat est d'être une place de ville numérique pour les décideurs techniques à acquérir des connaissances sur la technologie transformatrice et effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

  • information à jour sur les sujets qui vous intéressent
  • nos newsletters

    contenu de leader d'opinion et accès à prix réduit à nos événements prisés, tels que Transformer 2021: En savoir plus

    fonctionnalités de mise en réseau, et plus

    Devenir membre