Ataque à operadora Optus da Austrália expos o elevado risco presente em APIs não autenticadas

0

A Optus, segunda maior empresa de telecomunicações da Austrália, sofreu um incidente de segurança de API que pode custar US$ 1 milhão em prejuízo direto. Esse é o valor exigido pelo invasor que afirma conter mais de 11 milhões de registros de usuários. O hacker ameaçou vender os dados em parcelas se a Optus não pagar em uma semana e entrou em contato diretamente com os clientes da empresa exigindo que cada um deles pague cerca de 2.000 AUD (o equivalente a R$ 7.000,00), para evitar que as informações pessoais sejam comercializadas para atividades fraudulentas.

A exemplo de muitas outras indústrias, as empresas de Telecom e os Provedores de Serviços de Internet começaram a adotar amplamente as APIs para impulsionar suas iniciativas de transformação digital, em parte devido ao aumento da concorrência para fornecer serviços cada vez mais aprimorados aos seus clientes.

"Esse incidente sublinha que os setores de telecomunicações e de entrega de serviços de internet devem estar cientes dessas ameaças. É fundamental que todos os que trabalham nessas organizações entendam os diferentes requisitos de segurança e as medidas de proteção que tenham ou não sido tomadas em cada etapa do processo de projeto, desenvolvimento e implantação de uma API", analisa Daniela Costa, diretora para a América Latina da Salt Security, líder em segurança de API.

Além de explorar vulnerabilidades de autenticação para assumir contas de usuários, os invasores também podem ter acesso a todos os dados que um dispositivo tem direito a acessar. Por exemplo: os criminosos podem assumir controle total de uma rede se os dispositivos desta rede puderem ser explorados, o que configura um risco enorme e exige uma abordagem multifuncional da segurança das APIs.

"Esse ataque deixa clara a necessidade da adoção de uma segurança dedicada às APIs, com o seu contínuo monitoramento para detecção imediata de desvios de comportamento, lembrando que sem esta análise comportamental baseada em tecnologia de Big Data, Machine Learning e inteligência artificial é impossível ser efetivo na identificação destes novos ataques lógicos, cada vez mais comuns nas organizações", finaliza a executiva.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.