La semana pasada, una de las mayores empresas de telecomunicaciones de la región de Asia-Pacífico se vio comprometida. Los atacantes obtuvieron los datos de los clientes, incluida la información personal identificable (PII), a través de un punto final de la API no seguro y disponible públicamente en Internet. Los atacantes publicaron datos de muestra de algunos usuarios, incluyendo nombres, direcciones de correo electrónico, direcciones físicas, números de pasaporte, números de licencia de conducir, fechas de nacimiento, si una persona es dueña de su casa o no, y más. Los datos filtrados incluyen tanto clientes actuales como antiguos.
No sólo se robaron los datos, sino que también los utilizaron. Se ha informado que se solicitaron permisos de conducir, pasaportes y documentos nacionales de identidad a nombre de las víctimas, lo que constituye un grave riesgo de robo de identidad. Algunos usuarios informaron de que habían recibido un correo electrónico directo en el que se pedía un rescate de 2,000 dólares para borrar sus datos.1
Los intrusos pudieron obtener los datos utilizando una API que se cree que no contaba con autenticación y que proporcionaba acceso directo a los atacantes para robar los datos. Después de filtrar los datos de 10,200 usuarios, los atacantes aparentemente cambiaron de opinión y emitieron una disculpa pública afirmando que habían eliminado los datos, sin embargo, sólo podemos creer en su palabra ya que no hay pruebas que sugieran que no vendieron los datos filtrados.
Al cabo de una semana (28 de septiembre de 2022), se informó de que la identificación del historial médico de miles de personas se había visto comprometida a través del mismo punto final de la API expuesto.2 Aunque esto ya ha encendido el fuego para que los legisladores impongan normas más estrictas, es necesario tomar medidas proactivas.
¿COMO PUEDE AYUDAR EL "SHIFT-LEFT" EN LAS PRUEBAS DE LA API?
Shift-left es un enfoque de las pruebas de software y sistemas en el que las pruebas se realizan en las primeras fases del ciclo de vida del desarrollo. Los desarrolladores están facultados para analizar su código fuente y remediar las vulnerabilidades identificadas en lugar de depender de un equipo o proceso separado.
Las protecciones tradicionales de las API se centran en el tiempo de ejecución, donde las API gateways o los firewalls de aplicaciones web (WAF) sólo pueden proteger los endpoints de las API de los que tienen conocimiento. En el caso de la filtración de datos de la empresa de telecomunicaciones, parece que no sabían que el punto final de la API existía o que estaba expuesto públicamente, lo que significa que una puerta de enlace de la API o un WAF no habrían impedido la filtración.
Al analizar el código fuente subyacente de las API de la aplicación mediante pruebas estáticas de seguridad de las aplicaciones (SAST), se pueden identificar las vulnerabilidades y, por tanto, remediarlas antes, ahorrando tiempo, esfuerzo y recursos monetarios a las organizaciones. Además, al escanear las APIs en su origen, las organizaciones pueden identificar endpoints que de otra manera no estarían documentados (conocidos como APIs en la sombra), como lo que parece ser el caso que condujo a la violación de datos de la empresa de telecomunicaciones en Asia-Pacífico. Por supuesto, se necesita una buena plataforma para realizar el análisis.
¿COMO PUEDE AYUDAR CHECKMARX API SECURITY?
La plataforma de seguridad de aplicaciones Checkmarx One™ incluye nuestro motor de análisis de seguridad de API, que utiliza el análisis de código estático para identificar e inventariar los endpoints de las API, los datos de solicitud y respuesta asociados a estos endpoints y cualquier vulnerabilidad relacionada. Al escanear las aplicaciones y las API en el origen, identificamos antes las vulnerabilidades y proporcionamos una orientación puntual a los desarrolladores y a los equipos de AppSec sobre la mejor manera de abordar las vulnerabilidades antes de lanzar el código a la producción.
Checkmarx API Security escanea el código fuente, indexando el flujo de datos a través del código y capturando las posibles vulnerabilidades mediante un conjunto de consultas. Indexamos, enumeramos y correlacionamos los hallazgos de nuestro escaneo, proporcionando a los desarrolladores y a los equipos de AppSec la ruta de archivo específica y el número de línea donde se encontró la vulnerabilidad. Además, proporcionamos una guía de remediación específica, según sea necesario, sobre la vulnerabilidad identificada. En la imagen siguiente, vemos una vulnerabilidad de inyección SQL asociada a un endpoint de API específico.
Como tenemos visibilidad del código fuente subyacente para el endpoint de la API, podemos capturar y proporcionar detalles de los parámetros asociados a la API y si expone algún dato sensible, como nombres de usuario o contraseñas.
¿CUALES SON LAS VENTAJAS DE UTILIZAR LA SEGURIDAD DEL CÓDIGO FUENTE DE LAS API?
- Completa visibilidad de la API: Proporciona a los equipos de AppSec la visión más precisa y actualizada de toda la superficie de ataque de su API, eliminando el problema de las APIs en la sombra y zombis.
- Verdadero enfoque de desplazamiento hacia la izquierda: Descubre las APIs en el código fuente de las aplicaciones para identificar y solucionar los problemas en una fase más temprana del proceso de desarrollo de software, con menos costos y riesgos.
- Preparación para DevOps: Se puede integrar fácilmente con las plataformas DevOps.
- Reparación de prioridades: Centra a los desarrolladores y a los equipos de AppSec en la resolución de los problemas más críticos al priorizar las vulnerabilidades de la API en función de su impacto y riesgo reales.
- Visión holística del riesgo de la aplicación: Escanea toda la aplicación con una única solución (pruebas SAST y a las API), eliminando la necesidad de herramientas adicionales específicas de API para reducir la sobrecarga de los saturados equipos de AppSec.
- Metodología de prevención o de protección: El análisis del código fuente para la seguridad de las APIs permite a los equipos crear APIs más seguras en una fase temprana del SDLC y dar una respuesta rápida a los desarrolladores, evitando que los problemas se introduzcan en el producto.
- Saber a qué aplicación/proyecto pertenece la API: Reduce el tiempo necesario para solucionar el problema.
CONCLUSION
Este reciente y desafortunado ejemplo subraya la importancia de analizar las APIs en su origen. Al aprovechar la seguridad de las APIs de Checkmarx, disponible en la plataforma Checkmarx One, las organizaciones pueden protegerse de forma proactiva contra ataques como éste, ayudando a proteger los datos de sus clientes y su reputación.
¡Comuníquese con un equipo de ventas hoy mismo para obtener más información o una demostración en vivo!
Source:
1 https://www.crikey.com.au/2022/09/26/optus-hack-cyberattack-reform/
2 https://www.youtube.com/watch?v=x9YIb46kPS0
MÁS RECURSOS A CONSIDERAR
![[Ebook] 5 Reasons to Prioritize Software Security - Spanish](https://info.checkmarx.com/hs-fs/hubfs/image-png-Nov-22-2022-07-16-29-6986-PM.png?width=203&height=260&name=image-png-Nov-22-2022-07-16-29-6986-PM.png)
![[Partner Recruitment] Panorama y nuevas oportunidades para los canales](https://info.checkmarx.com/hs-fs/hubfs/image-png-Nov-22-2022-07-18-23-2519-PM.png?width=203&height=267&name=image-png-Nov-22-2022-07-18-23-2519-PM.png)
