يُظهر خرق بيانات تويتر أن واجهات برمجة التطبيقات هي منجم ذهب لمعلومات التعريف الشخصية والهندسة الاجتماعية
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
ثغرة Twitter API شحنها في يونيو 2021 (وتم تصحيحه لاحقًا) ليطارد المنظمة. في ديسمبر ، ادعى أحد المتسللين أن لديه بيانات شخصية لـ400 مليون مستخدم للبيع على الويب المظلم ، وبالأمس فقط ، أصدر المهاجمون تفاصيل الحساب وعناوين البريد الإلكتروني لـ 235 مليون مستخدم مجانًا.
تتضمن المعلومات التي تم الكشف عنها كجزء من الخرق أسماء حسابات المستخدم والمقابض وتاريخ الإنشاء وعدد المتابعين وعناوين البريد الإلكتروني. عند تجميعها معًا ، يمكن للجهات الفاعلة في التهديد إنشاء حملات هندسة اجتماعية لخداع المستخدمين لتسليم بياناتهم الشخصية.
في حين أن المعلومات التي تم الكشف عنها كانت مقصورة على معلومات المستخدمين المتاحة للجمهور ، فإن الحجم الكبير من الحسابات المكشوفة في مكان واحد يوفر للجهات الفاعلة في التهديد منجم ذهب من المعلومات التي يمكنهم استخدامها لتنظيم هجمات الهندسة الاجتماعية شديدة الاستهداف.
تويتر: منجم ذهب للهندسة الاجتماعية
يقدم عمالقة وسائل التواصل الاجتماعي لمجرمي الإنترنت منجم ذهب من المعلومات التي يمكنهم استخدامها لإجراء عمليات الاحتيال المتعلقة بالهندسة الاجتماعية.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
من خلال الاسم وعنوان البريد الإلكتروني والمعلومات السياقية المأخوذة من الملف الشخصي العام للمستخدم ، يمكن للمتسلل إجراء استطلاع على الهدف وتطوير عمليات احتيال وحملات تصيد لخداعهم لتسليم المعلومات الشخصية.
قال ميكلوس زولتان ، الباحث الأمني بشؤون الخصوصية: “هذا التسريب يقوم بشكل أساسي بتدوين عناوين البريد الإلكتروني الشخصية للمستخدمين البارزين (ولكن أيضًا للمستخدمين العاديين) ، والتي يمكن استخدامها لمضايقات البريد العشوائي وحتى محاولات اختراق هذه الحسابات”. “قد يغمر المستخدمون الذين يحققون أرباحًا عالية في محاولات البريد العشوائي والتصيد الاحتيالي على نطاق واسع.”
لهذا السبب ، يوصي Zoltan بأن يقوم المستخدمون بإنشاء كلمات مرور مختلفة لكل موقع يستخدمونه لتقليل مخاطر محاولات الاستيلاء على الحساب.
الرابط بين الهندسة الاجتماعية واختراقات واجهة برمجة التطبيقات
توفر واجهات برمجة التطبيقات غير الآمنة لمجرمي الإنترنت خطًا مباشرًا للوصول إلى معلومات التعريف الشخصية للمستخدم (PII) وأسماء المستخدمين وكلمات المرور ، والتي يتم التقاطها عندما يقوم العميل بالاتصال بواجهة برمجة تطبيقات خدمة تابعة لجهة خارجية. وبالتالي ، توفر هجمات API للمهاجمين نافذة لجمع البيانات الشخصية لعمليات الاحتيال الجماعية.
حدث هذا قبل شهر واحد فقط عندما نجح أحد الفاعلين في تطبيق التهديدات على خدمة مشاركة المعلومات الاستخباراتية InfraGuard التابعة لمكتب التحقيقات الفيدرالي ، واستخدم ثغرة في واجهة برمجة التطبيقات لجمع بيانات 80 ألف مدير تنفيذي عبر القطاع الخاص وعرضها للبيع على شبكة الإنترنت المظلمة.
تضمنت المعلومات التي تم جمعها أثناء الحادث بيانات مثل أسماء المستخدمين وعناوين البريد الإلكتروني وأرقام الضمان الاجتماعي وتواريخ الميلاد – وكلها معلومات ذات قيمة عالية لتطوير عمليات احتيال الهندسة الاجتماعية وهجمات التصيد بالرمح.
لسوء الحظ ، يبدو أن هذا الاتجاه من إساءة استخدام واجهة برمجة التطبيقات (API) سيزداد سوءًا ، حيث توقعت شركة Gartner أن يصبح إساءة استخدام واجهة برمجة التطبيقات هذا العام هو ناقل الهجوم الأكثر شيوعًا.
ما وراء واجهات برمجة التطبيقات التي تعمل فقط
المنظمات أيضًا تشعر بقلق متزايد بشأن أمان واجهة برمجة التطبيقات ، حيث أبلغ 94٪ من صانعي القرار في مجال التكنولوجيا عن ثقتهم إلى حد ما في قدرة مؤسستهم على تقليل مشكلات أمان بيانات واجهة برمجة التطبيقات بشكل جوهري.
من الآن فصاعدًا ، تحتاج المؤسسات التي تستفيد من واجهات برمجة التطبيقات إلى أن تكون أكثر استباقية بشأن توفير الأمان في منتجاتها ، بينما يحتاج المستخدمون إلى توخي المزيد من الحذر بشأن رسائل البريد الإلكتروني التي قد تكون ضارة.
قال Jamie Boote: “هذا مثال شائع على كيفية بقاء واجهة برمجة التطبيقات غير الآمنة التي يصممها المطورون” للعمل فقط “غير آمنة ، لأنه عندما يتعلق الأمر بالأمان ، غالبًا ما يكون ما هو بعيد عن الأنظار بعيدًا عن العقل” ، مستشار أمن البرامج المشارك في Synopsys Software Integrity Group. “من الآن فصاعدًا ، ربما يكون من الأفضل حذف أي رسائل بريد إلكتروني تبدو وكأنها من Twitter لتجنب عمليات التصيد الاحتيالي”.
حماية واجهات برمجة التطبيقات و PII
تتمثل إحدى التحديات الأساسية حول معالجة انتهاكات واجهة برمجة التطبيقات في حقيقة أن المؤسسات الحديثة تحتاج إلى اكتشاف آلاف واجهات برمجة التطبيقات وتأمينها.
قال كريس بوين ، CISO في ClearDATA: “تتطلب حماية المؤسسات من هجمات API إشرافًا متسقًا وجادًا على إدارة البائعين ، وبالتحديد ضمان أن كل واجهة برمجة تطبيقات مناسبة للاستخدام”. “يتعين على المؤسسات إدارتها كثيرًا ، لكن المخاطرة أكبر من عدم القيام بذلك.”
هناك أيضًا هامش ضئيل للخطأ ، حيث يمكن لثغرة واحدة أن تعرض بيانات المستخدم مباشرة لخطر التسلل.
قال بوين: “في مجال الرعاية الصحية ، على سبيل المثال ، حيث تكون بيانات المريض معرضة للخطر ، يجب أن تتناول كل واجهة برمجة تطبيقات عدة مكونات مثل إدارة الهوية وإدارة الوصول والمصادقة والتفويض ونقل البيانات وأمان التبادل والاتصال الموثوق به”.
من المهم أيضًا ألا ترتكب فرق الأمان خطأ الاعتماد فقط على خيارات المصادقة البسيطة مثل أسماء المستخدمين وكلمات المرور لحماية واجهات برمجة التطبيقات الخاصة بهم.
قال Will Au ، مدير أول DevOps والعمليات وموثوقية الموقع في Jitterbit: “في بيئة اليوم ، لم تعد أسماء المستخدمين وكلمات المرور الأساسية كافية”. “من الضروري الآن استخدام معايير مثل المصادقة الثنائية (2FA) و / أو المصادقة الآمنة مع OAuth.”
يمكن أن تساعد الخطوات الأخرى مثل تثبيت جدار حماية تطبيق الويب (WAF) ومراقبة حركة مرور واجهة برمجة التطبيقات في الوقت الفعلي في اكتشاف النشاط الضار وتقليل فرصة الاختراق.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.