Ataque a operadora de telefonia na Austrália expõe risco no uso de APIs

Por Kaique Lima | Editado por Claudio Yuge | 29 de Setembro de 2022 às 17h20

clique para compartilhar

Link copiado!

Uma falha trivial de segurança fez com que a segunda maior empresa de telecomunicações da Austrália, a Optus, fosse vítima de um ataque em larga escala, em que um cibercriminosos ameaçou vender os registros de 11,2 milhões de clientes. Em um caso de extorsão, o invasor pediu nada menos que US$ 1 milhão (cerca de R$ 5,34 milhões) para não disponibilizar as informações.

Embora o invasor ainda não tenha sido identificado, que se autodenomina como ‘Optusdata’, já declarou que estaria arrependido da ação. Trata-se de uma das maiores violações de dados da história do país da Oceania, e só ocorreu por conta de uma vulnerabilidade na Interface de Programação de Aplicação (API) da empresa.

Para que servem as APIs?

As APIs permitem que diferentes sistemas troquem seus dados, algo que melhora substancialmente a experiência do usuário. Porém, essa tecnologia pode representar sérios riscos de vazamento de dados, exposição na internet e venda em fóruns na deep web.

A exemplo de empresas de diferentes setores da economia, as companhias de telecomunicações e provedores de serviços de internet começaram a adotar APIs para impulsionar seu processo de digitalização. A adoção dessa tecnologia permite a essas companhias oferecer um serviço cada vez melhor a seus clientes, se colocando à frente de concorrentes.

“Esse incidente sublinha que os setores de telecomunicações e de entrega de serviços de internet devem estar cientes dessas ameaças”, defende a diretora para a América Latina da empresa de cibersegurança Salt Security, Daniela Costa. Segundo ela, é importante que funcionários dessas empresas tenham um melhor entendimento sobre os diferentes requisitos de segurança das APIs.

Como o ataque foi conduzido?

Estima-se que ‘Optusdata’ tenha conseguido acessar uma API para um banco de dados de identidade do cliente Optus aberta em uma rede de teste. A recomendação era de que essa rede não tivesse acesso à internet, porém, a conexão existia, o que permitiu que o cibercriminoso acessasse os registros dos clientes da empresa.

A Optus ainda não deu uma declaração oficial explicando qual foi a vulnerabilidade explorada. A empresa apenas desmentiu a hipótese de que um erro humano tenha permitido a invasão, além de tranquilizar seus clientes dizendo que a invasão já foi solucionada, o vazamento dos dados foi estancado e que nenhum cliente da empresa sofreu qualquer dano.

“Esse ataque deixa clara a necessidade da adoção de uma segurança dedicada às APIs, com o seu contínuo monitoramento para detecção imediata de desvios de comportamento'', defende Costa. “Mas sem análise comportamental baseada em tecnologia de Big Data, Machine Learning e inteligência artificial é impossível ser efetivo na identificação destes novos ataques lógicos”, conclui.

Fonte: Bank Info SecurityA.P News