SensediaSensediaSensediaSensedia
  • Products
    • API Management Platform
    • Governança de APIs
    • Event-Driven Architecture
    • Microservices & Service Mesh Architecture
    • PCI
    • Flexible Actions
  • Services
    • Consulting & Professional Services
    • API Care
    • Developer Experience
  • Solutions
    • Insurance
    • Open Banking
    • Retail & e-commerce
  • Content
    • Webinar e Ebooks
    • Blog
    • Cases
  • Contact
    • Customers
    • Support
  • Careers
  • Português
    • Inglês
    • Espanhol

Como evitar ataques como o sofrido pelo Snapchat

    Home API Como evitar ataques como o sofrido pelo Snapchat
    Sua API é privada ou restrita aos seus parceiros? Tome cuidado! Talvez tenha alguém olhando pela fechadura. Veja por quê o Snapchat foi atacado e proteja-se

    Como evitar ataques como o sofrido pelo Snapchat

    By Kleber Bacili | API | 3 comments | 2 setembro, 2015 | 0

    Sua API é privada ou restrita aos seus parceiros? Tome cuidado! Talvez tenha alguém olhando pela fechadura. Veja por quê o Snapchat foi atacado e proteja-se

    O fantasminha chamado Snapchat

    O mercado de redes sociais e novas formas de comunicação por meio de apps e plataformas é extremamente aquecido. Facebook parece até um tiozão no meio de projetos novos e populares como o Snapchat ou o Periscope.

    Se você não conhece, o Snapchat é um aplicativo móvel para troca de fotos e vídeos curtos, muito popular entre adolescentes com mais de 30 milhões de usuários no mundo todo.

    Assim como fez com o WhatsApp, o Facebook tentou comprar a empresa em Novembro do ano passado por 3 bilhões de dólares, sem sucesso. Isso que é bala na agulha hein!

    Nem tudo são flores

    A despeito do sucesso com os usuários, uma empresa australiana relatou que através da engenharia reversa do App para Android do Snapchat é possível descobrir as APIs e implementar programas maliciosos que se passem pelo app oficial se comunicando com o backend.

    Esse tipo de engenharia reversa que “expõe” a API na marra não é tão incomum assim.

    Por exemplo, quando foi lançado, o Google Maps não possuía uma API aberta. As APIs internas do produto foram descobertas e começaram a ser usadas de forma positiva, com a criação de aplicações que ajudaram a popularizar o serviço do Google.

    Alguns anos depois, a API foi aberta pelo Google, o que definitivamente melhorou o suporte, documentação, funcionalidades e, é claro, a segurança da API.

    No caso do Maps, existe informação sensível na forma de fotos de pessoas em certos lugares e posicionamento de casas e outros imóveis. Hoje em dia, qualquer pessoa pode pedir para ter suas fotos censuradas no site, caso sinta que sua privacidade foi prejudicada.

    Apesar disso, essa informação não tem um potencial tão grande de invadir diretamente a privacidade das pessoas, como é o caso do Snapchat,  que tem bases de dados com nome, telefone e fotos tiradas  pelos próprios usuários, algumas com cunho íntimo.

    Como que ignorando isso, quando a API do Snapchat foi descoberta, a empresa não deu muita bola, e um grupo de hackers explorou essa brecha e divulgou dados – nome e telefone – de mais de 4,6 milhões de usuários dos EUA e Canadá.

    Mais informações sobre o incidente aqui.

    Por que isso realmente aconteceu?

    O erro parece bem bobo por parte do Snapchat, não é?

    Afinal de contas, esses dados são estritamente pessoais. Imagino que você não queira que um grupo de hackers aleatórios acessem seu telefone e fotos que você mandou para amigos, não é?

    Tenho certeza que nem os próprios desenvolvedores do Snapchat queriam isso.

    Porém, ao decidir por usar as APIs apenas internamente, mas não garantir uma barreira para a engenharia reversa, o Snapchat foi negligente.

    Segurança baseada em “obscuridade” não é, digamos, segura.

    Algumas boas práticas de design e uma ferramenta de gerenciamento de APIs como o Sensedia API Suite poderiam ter evitado ou minimizado o dano.

    Se você quiser conhecer os 10 mandamentos para exposição de APIs e garantir que sua API está prontinha para o mundo, confira esse post.

    Aqui, vamos ser mais específicos e ver as boas práticas que poderiam ter evitado essa situação:

    Gestão de tráfego

    Soluções de API Gateway permitem que a empresa configure políticas de “rate limiting” que podem evitar que clientes externos bombardeiem a API com chamadas repetidas, bloqueando seu acesso.

    Outros recursos como “IP filtering” e regras baseadas em tokens de usuários também poderiam ter ajudado.

    API pública vs API privada

    A brecha que foi explorada é parte da API privada do Snapchat. Quando a API é pública, o risco de usuários desavisados ou mal-intencionados agirem é maior.

    Então, sendo privada, essa API poderia estar melhor protegida se amarrasse as invocações a dados específicos do dispositivo sendo usado.

    Monitoramento real-time

    Se a API é monitorada, situações que possam caracterizar um ataque não são difíceis de serem identificadas.

    Uma ferramenta que controlasse acessos (e reagisse automaticamente) é essencial. Limitar apps abusadas, que simplesmente tenham sido programadas errado, ou que sejam realmente maliciosas, deve ser feito rápida e imediatamente.

    Afinal de contas, imagino que você não queira que sua API caia para todos os seus bons clientes/parceiros por causa de uma pessoa com más intenções, certo?

    Alertas

    Um usuário passar uma lista de 100 mil números de telefone para a API “Find_Friends” é, no mínimo, um uso totalmente incomum.

    Soluções de Gateway são também capazes de gerar alertas quando situações inusitadas começam a acontecer. Com o processo correto de análise desses alertas, esse usuários poderia ser rapidamente bloqueado.

    Reflita!

    Pense bem: o aplicativo móvel da sua empresa, que pode estar manipulando dados sigilosos dos usuários, possui algum tipo de proteção contra a de-compilação de seu código e uso inadequado dos serviços de backend expostos através da API privada?

    E mais: A sua API é realmente privada ou somente “ligeiramente escondida”?

    —
    Curtiu o post? Então que tal se inscrever na nossa newsletter quinzenal? Mandamos nossos melhores conteúdos para  o conforto do seu email! Mais de 6 mil pessoas já recebem =)

    [contact-form-7 id=”1069″ title=”Home-newsletter”]

    api suite, ferramentas, Gerenciamento de APIs, Segurança, Segurança de APIs, Snapchat

    Kleber Bacili

    Kleber Bacili é CEO da Sensedia.

    More posts by Kleber Bacili

    Related Post

    • OWASP 2017 TOP 10 Riscos de Segurança e APIs

      Top 10 Riscos de Segurança na Web (OWASP 2017) e como mitigá-los com API Management

      By Nicholas Gimenes | 0 comment

        Segurança de APIs e de Apps Dados críticos na nuvem, acesso mobile em todo lugar, IoT, Open Banking, plataformas digitais habilitadas por APIs ̶ e a segurança disso, como fica? As APIs são aRead more

    • PCI Compliant: suas APIs precisam dessa certificação PCI DSS? (e como isso ajuda com LGPD e Open Banking)

      By Nicholas Gimenes | 0 comment

      O que é a certificação PCI DSS? O PCI DSS (Payment Card Industry – Data Security Standard) é um padrão de segurança de alto nível, indicado para todo o ecossistema de empresas que gravam ouRead more

    • Open Banking

      O que é Open Banking? Promovendo o futuro dos bancos com APIs

      By Eike Malavasi | Comments are Closed

      O que é Open banking e por que fará a diferença? Imagine os principais bancos no Brasil quando começaram a oferecer serviços digitais, como Internet Banking ou o app. Como você se sentiu? Confortável, moderno,Read more

    • Os 10 conteúdos da Sensedia que mais fizeram sucesso em 2015

      By Ricardo Peloi | 0 comment

        Mais um ano se passou Se, por um lado, a Economia e Política no Brasil andam mal das pernas, algumas empresas e setores vão de vento em popa. Talvez seja aquele famoso efeito, “EnquantoRead more

    • Como garantir que alguns recursos da sua API sejam usados somente por uma parcela do seu público? Simples: segmentando acessos com policies!

      Segmentando acessos na exposição da sua API

      By Rennan Leite | 0 comment

      Seus recursos, expostos Sua API possui diferentes recursos, que consomem informações. Ao disponibilizar esses recursos para os seus clientes, você precisa separar os que vão utilizar o recurso A do recurso B. Mas como resolverRead more

    Leave a Comment

    Cancelar resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Categorias

    • Analytics
    • API
    • Artigos
    • Eventos
    • Internet das Coisas
    • Negócios Digitais
    • Podcast Techbeer
    • Publicações externas
    • SOA

    Tags

    API API Economy API Experience API First API Management APIs APIX As APIs que você precisa conhecer Big Data Blocos Blocos de Construção Desenvolvedores desenvolvimento design de APIs digital transformation e-commerce Ecossistema de parceiros Estratégia API First Estratégia Digital Estratégias SaaS Eventos Exposição de APIs Forrester Games Gartner Gerenciamento de APIs Hackathon Inovação Integração Internet das Coisas Internet of Things IoT MicroServices midia Modelo de negócios Negócios Omnichannel open banking SaaS Segurança Segurança de APIs SOA Techbeer Tecnologia Transformação Digital

    Posts recentes

    • Como criar um cluster Kubernetes com Terraform e AWS-EKS
    • Como o Developer Experience pode ajudar a suportar suas APIs
    • APIs e o novo paradigma da Educação Digital
    • Apache Ignite – Cache – Pt 1
    • Integração de gás com as APIs ganhando espaço
    • Política de Privacidade
    Copyright © 2020 Sensedia | All Rights Reserved
    • Products
      • API Management Platform
      • Governança de APIs
      • Event-Driven Architecture
      • Microservices & Service Mesh Architecture
      • PCI
      • Flexible Actions
    • Services
      • Consulting & Professional Services
      • API Care
      • Developer Experience
    • Solutions
      • Insurance
      • Open Banking
      • Retail & e-commerce
    • Content
      • Webinar e Ebooks
      • Blog
      • Cases
    • Contact
      • Customers
      • Support
    • Careers
    • Português
      • Inglês
      • Espanhol
    Sensedia