Desmascarando vulnerabilidades de API: como a BeVigil fortalece a segurança digital

No mundo das interações digitais e na web, as APIs servem como gateways essenciais, permitindo comunicação e funcionalidade contínuas entre aplicativos. No entanto, sem medidas de segurança robustas, elas podem inadvertidamente se tornar o elo mais fraco na cadeia de segurança cibernética de uma organização. Este blog esclarece uma recente descoberta de falhas nos controles de acesso à API, mostrando como os recursos avançados de segurança da BeVigil podem descobrir e mitigar essas vulnerabilidades.

APIs mal configuradas e controles de acesso defeituosos

Durante uma análise de segurança aprofundada, o scanner WebApp da BeVigil descobriu uma vulnerabilidade significativa em uma interface de documentação da API. Um aplicativo web configurado incorretamente permitiu acesso não autenticado a APIs internas confidenciais, expondo dados críticos do cliente e funcionalidades operacionais. Esse problema resultou de um mecanismo de autorização inseguro que aceitava entradas arbitrárias como credenciais válidas.

Principais problemas identificados

• Documentação da API exposta: A documentação da API, embora pretendesse ser inacessível, foi facilmente recuperada devido a um mecanismo antidetecção defeituoso.
• Mecanismo de autorização fraco: Os controles de autenticação permitiram que valores aleatórios ignorassem as verificações de segurança.
• Exposição sensível a terminais: Endpoints capazes de buscar informações de identificação pessoal (PII), modificar dados do usuário e realizar operações bancárias críticas foram expostos.

Desmascarando falhas de segurança: uma análise detalhada

1. A BeVigil identificou um aplicativo web com uma página de documentação desativada que poderia ser ignorada devido a medidas de segurança fracas. Usando ferramentas como o BurpSuite, foi possível acessar endpoints de API expostos. Esses endpoints permitiram ações como geração de tokens, validação de PAN, gerenciamento de OTP e acesso a informações bancárias confidenciais, demonstrando uma vulnerabilidade significativa.

2. A API “Perfil do cliente” permite o acesso a dados confidenciais do cliente, incluindo perfis, transações e detalhes da conta. O acesso não autorizado também permite atualizações de informações pessoais e transacionais, representando um grande risco de segurança.

3. A API “Pagamentos de contas” expôs informações confidenciais do cobrador, incluindo nomes, IDs, limites bancários e endereços, destacando uma vulnerabilidade crítica de dados.

Intervenção de segurança da BeVigil

A BeVigil empregou uma abordagem sistemática para identificar, analisar e recomendar etapas acionáveis para mitigar as vulnerabilidades. Tomamos as seguintes ações principais:

• Documentação de API exposta identificada e caminhos inseguros que permitiam acesso não autorizado.
• Recomendamos desativar a documentação pública da API ou protegendo-o com controles de acesso rígidos.
• Controles de acesso reforçados aconselhando mecanismos de autenticação robustos, como autenticação baseada em tokens e validação de entrada.
• Implementou auditorias de segurança periódicas para detectar proativamente vulnerabilidades e anomalias.
• Sugestão de desabilitar rotas de API não utilizadas e impondo limites de taxas para evitar abusos.
• Práticas de codificação segura enfatizadas educando as equipes de desenvolvimento sobre as melhores medidas de segurança.

Esse incidente ressalta a importância de uma abordagem que prioriza a segurança no gerenciamento de APIs. Proteger as APIs não é apenas uma necessidade técnica, mas um imperativo estratégico na economia digital atual. Com as ferramentas e metodologias avançadas da BeVigil, as organizações podem garantir que seus ecossistemas de API permaneçam seguros, promovendo a confiança e a excelência operacional em um mundo cada vez mais interconectado.

‍