أخبار التقنية

يُظهر خرق بيانات تويتر أن واجهات برمجة التطبيقات هي منجم ذهب لمعلومات التعريف الشخصية والهندسة الاجتماعية


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


ثغرة Twitter API شحنها في يونيو 2021 (وتم تصحيحه لاحقًا) ليطارد المنظمة. في ديسمبر ، ادعى أحد المتسللين أن لديه بيانات شخصية لـ400 مليون مستخدم للبيع على الويب المظلم ، وبالأمس فقط ، أصدر المهاجمون تفاصيل الحساب وعناوين البريد الإلكتروني لـ 235 مليون مستخدم مجانًا.

تتضمن المعلومات التي تم الكشف عنها كجزء من الخرق أسماء حسابات المستخدم والمقابض وتاريخ الإنشاء وعدد المتابعين وعناوين البريد الإلكتروني. عند تجميعها معًا ، يمكن للجهات الفاعلة في التهديد إنشاء حملات هندسة اجتماعية لخداع المستخدمين لتسليم بياناتهم الشخصية.

في حين أن المعلومات التي تم الكشف عنها كانت مقصورة على معلومات المستخدمين المتاحة للجمهور ، فإن الحجم الكبير من الحسابات المكشوفة في مكان واحد يوفر للجهات الفاعلة في التهديد منجم ذهب من المعلومات التي يمكنهم استخدامها لتنظيم هجمات الهندسة الاجتماعية شديدة الاستهداف.

تويتر: منجم ذهب للهندسة الاجتماعية

يقدم عمالقة وسائل التواصل الاجتماعي لمجرمي الإنترنت منجم ذهب من المعلومات التي يمكنهم استخدامها لإجراء عمليات الاحتيال المتعلقة بالهندسة الاجتماعية.

حدث

قمة أمنية ذكية عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

من خلال الاسم وعنوان البريد الإلكتروني والمعلومات السياقية المأخوذة من الملف الشخصي العام للمستخدم ، يمكن للمتسلل إجراء استطلاع على الهدف وتطوير عمليات احتيال وحملات تصيد لخداعهم لتسليم المعلومات الشخصية.

قال ميكلوس زولتان ، الباحث الأمني ​​بشؤون الخصوصية: “هذا التسريب يقوم بشكل أساسي بتدوين عناوين البريد الإلكتروني الشخصية للمستخدمين البارزين (ولكن أيضًا للمستخدمين العاديين) ، والتي يمكن استخدامها لمضايقات البريد العشوائي وحتى محاولات اختراق هذه الحسابات”. “قد يغمر المستخدمون الذين يحققون أرباحًا عالية في محاولات البريد العشوائي والتصيد الاحتيالي على نطاق واسع.”

لهذا السبب ، يوصي Zoltan بأن يقوم المستخدمون بإنشاء كلمات مرور مختلفة لكل موقع يستخدمونه لتقليل مخاطر محاولات الاستيلاء على الحساب.

توفر واجهات برمجة التطبيقات غير الآمنة لمجرمي الإنترنت خطًا مباشرًا للوصول إلى معلومات التعريف الشخصية للمستخدم (PII) وأسماء المستخدمين وكلمات المرور ، والتي يتم التقاطها عندما يقوم العميل بالاتصال بواجهة برمجة تطبيقات خدمة تابعة لجهة خارجية. وبالتالي ، توفر هجمات API للمهاجمين نافذة لجمع البيانات الشخصية لعمليات الاحتيال الجماعية.

حدث هذا قبل شهر واحد فقط عندما نجح أحد الفاعلين في تطبيق التهديدات على خدمة مشاركة المعلومات الاستخباراتية InfraGuard التابعة لمكتب التحقيقات الفيدرالي ، واستخدم ثغرة في واجهة برمجة التطبيقات لجمع بيانات 80 ألف مدير تنفيذي عبر القطاع الخاص وعرضها للبيع على شبكة الإنترنت المظلمة.

تضمنت المعلومات التي تم جمعها أثناء الحادث بيانات مثل أسماء المستخدمين وعناوين البريد الإلكتروني وأرقام الضمان الاجتماعي وتواريخ الميلاد – وكلها معلومات ذات قيمة عالية لتطوير عمليات احتيال الهندسة الاجتماعية وهجمات التصيد بالرمح.

لسوء الحظ ، يبدو أن هذا الاتجاه من إساءة استخدام واجهة برمجة التطبيقات (API) سيزداد سوءًا ، حيث توقعت شركة Gartner أن يصبح إساءة استخدام واجهة برمجة التطبيقات هذا العام هو ناقل الهجوم الأكثر شيوعًا.

ما وراء واجهات برمجة التطبيقات التي تعمل فقط

المنظمات أيضًا تشعر بقلق متزايد بشأن أمان واجهة برمجة التطبيقات ، حيث أبلغ 94٪ من صانعي القرار في مجال التكنولوجيا عن ثقتهم إلى حد ما في قدرة مؤسستهم على تقليل مشكلات أمان بيانات واجهة برمجة التطبيقات بشكل جوهري.

من الآن فصاعدًا ، تحتاج المؤسسات التي تستفيد من واجهات برمجة التطبيقات إلى أن تكون أكثر استباقية بشأن توفير الأمان في منتجاتها ، بينما يحتاج المستخدمون إلى توخي المزيد من الحذر بشأن رسائل البريد الإلكتروني التي قد تكون ضارة.

قال Jamie Boote: “هذا مثال شائع على كيفية بقاء واجهة برمجة التطبيقات غير الآمنة التي يصممها المطورون” للعمل فقط “غير آمنة ، لأنه عندما يتعلق الأمر بالأمان ، غالبًا ما يكون ما هو بعيد عن الأنظار بعيدًا عن العقل” ، مستشار أمن البرامج المشارك في Synopsys Software Integrity Group. “من الآن فصاعدًا ، ربما يكون من الأفضل حذف أي رسائل بريد إلكتروني تبدو وكأنها من Twitter لتجنب عمليات التصيد الاحتيالي”.

حماية واجهات برمجة التطبيقات و PII

تتمثل إحدى التحديات الأساسية حول معالجة انتهاكات واجهة برمجة التطبيقات في حقيقة أن المؤسسات الحديثة تحتاج إلى اكتشاف آلاف واجهات برمجة التطبيقات وتأمينها.

قال كريس بوين ، CISO في ClearDATA: “تتطلب حماية المؤسسات من هجمات API إشرافًا متسقًا وجادًا على إدارة البائعين ، وبالتحديد ضمان أن كل واجهة برمجة تطبيقات مناسبة للاستخدام”. “يتعين على المؤسسات إدارتها كثيرًا ، لكن المخاطرة أكبر من عدم القيام بذلك.”

هناك أيضًا هامش ضئيل للخطأ ، حيث يمكن لثغرة واحدة أن تعرض بيانات المستخدم مباشرة لخطر التسلل.

قال بوين: “في مجال الرعاية الصحية ، على سبيل المثال ، حيث تكون بيانات المريض معرضة للخطر ، يجب أن تتناول كل واجهة برمجة تطبيقات عدة مكونات مثل إدارة الهوية وإدارة الوصول والمصادقة والتفويض ونقل البيانات وأمان التبادل والاتصال الموثوق به”.

من المهم أيضًا ألا ترتكب فرق الأمان خطأ الاعتماد فقط على خيارات المصادقة البسيطة مثل أسماء المستخدمين وكلمات المرور لحماية واجهات برمجة التطبيقات الخاصة بهم.

قال Will Au ، مدير أول DevOps والعمليات وموثوقية الموقع في Jitterbit: “في بيئة اليوم ، لم تعد أسماء المستخدمين وكلمات المرور الأساسية كافية”. “من الضروري الآن استخدام معايير مثل المصادقة الثنائية (2FA) و / أو المصادقة الآمنة مع OAuth.”

يمكن أن تساعد الخطوات الأخرى مثل تثبيت جدار حماية تطبيق الويب (WAF) ومراقبة حركة مرور واجهة برمجة التطبيقات في الوقت الفعلي في اكتشاف النشاط الضار وتقليل فرصة الاختراق.

مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.



اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى
karnataka xvideo pornmovieswatch.org sex sagr
bangla chodan xshaker.net download indiansex video
بيرازر meyzo.info افلام دراما سكس
mallu blue film eroanal.net xnxxbest
locel xxx video waplo.info desi kannada sex
chut pics cumporntrends.com tight pussy xvideo
indian kitchen room tubedesiporn.com marwadi girl sex
bengoli xxx movie redwap3.com malayalam blue filim
indian@aloha tube eromoms.net www.pronstarxvidoes
bangla chodachudi pornjob.info meena sexy pics
صورة بنات سكس xxcmh.com فيلم سكس صيني
www desi xx com browntubeporn.com wild ass fuck
www.hot vido 3gpjizz.mobi sunny leone tube 8
funmaza dampxxx.org varun dhawan sex
اغتصاب مصري arabicpornvideo.com دخله براحه
toto togel situs togel toto slot situs toto rtp slot cerutu4d toto slot situs toto bo togel situs togel situs toto situs togel situs togel toto togel pam4d toto togel situs toto situs togel situs toto situs togel toto togel situs togel situs togel bandar toto situs togel bo togel situs toto situs togel situs toto situs togel toto slot pam4d bento4d bento4d bento4d jacktoto jacktoto cerutu4d cerutu4d situs toto situs togel situs toto situs toto situs toto situs togel situs toto bandar togel situs toto situs toto situs toto situs toto situs togel situs togel resmi situs togel situs toto resmi situs togel resmi situs toto toto slot situs toto situs toto situs toto situs togel situs toto situs toto macau bo toto bo toto situs toto toto togel situs toto togel resmi situs toto situs toto situs togel situs togel resmi pengeluaran macau situs toto situs toto situs togel situs togel situs toto situs toto toto slot situs toto situs togel situs toto slot cerutu4d bo toto situs toto situs toto situs toto situs toto macau cerutu4d situs toto situs toto macau bet togel toto togel gimbal4d gimbal4d toto slot situs toto situs toto toto slot situs toto situs toto toto togel situs toto toto slot situs togel situs toto slot live casino toto slot toto togel situs togel situs toto bandar togel bandar togel situs toto bo togel situs toto daftar situs togel situs togel situs toto situs toto situs toto bakautoto situs bandar togel bakautoto situs resmi toto togel bakautoto situs toto togel terpercaya 2024 situs toto situs toto