API güvenlik olayları için sezon olmalı. Özel Tesla ve SpaceX LLM’leri için bir API tuşuna sızan bir geliştiricinin topuklarında sıcak olan araştırmacılar, belgelenmemiş Tiktok ve Instagram API’lerinden yararlanarak API istismarı yoluyla hesap bilgilerini doğrulamak için bir dizi araç keşfettiler.
Araçlar ve varsayılan sömürü, kötü amaçlı python paketlerini içerir – Checker -Sagaf, Stein gizlenir ve iç çekirdek – PYPI’ye yüklendi. Bu paketler, çalıntı bir e -posta, kullanıcı adı veya şifre aktif bir hesaba bağlı olup olmadığını doğrulama işlemini otomatikleştirir. Bu yazıda, bu olayın ayrıntılarını ve Walarm’ın benzer API kötüye kullanımına karşı korunmaya nasıl yardımcı olabileceğini araştıracağız.
Ne oldu: API’ler Recon Araçlarına Dönüş
Paketlerin her biri, resmi uygulamalar tarafından hesap kurtarma, giriş kontrolleri ve kayıt akışları için kullanılan meşru, büyük ölçüde belgesiz API uç noktalarını hedefledi. Bu API uç noktalarından yararlanarak, araçlar belirli bir e -posta, kullanıcı adı veya parolanın uyarıları tetiklemeden geçerli bir hesaba bağlı olup olmadığını doğruladı.
Örneğin:
- Tiktok’un dahili şifre sıfırlama API sahte şifre kurtarma istekleri göndermek için kullanıldı. API “başarılı bir şekilde gönderilen” bir yanıt döndürürse, saldırganlar e -postayı bilir ve gerçek bir hesaba bağlanır.
- Instagram’ın Giriş API’sı kukla kimlik bilgileri ile problandı. Hata yanıtı yanlış bir şifre gösterdiyse, ancak kullanıcının geçersiz olduğundan bahsetmediyse, kullanıcı adının var olduğunu doğruladı.
- Ek Instagram uç noktaları kayıt sırasında e -posta kullanılabilirliğini kontrol etmek, şifre sıfırlamalarını tetiklemek veya kullanıcı arama API’lerini sorgulamak için kullanıldı. Bu uç noktalar halkın erişimini amaçlamıyordu, ancak internet üzerinden erişilebilir oldukları için kötüye kullanım için adil bir oyundu.
Bu gerçekten bir uzlaşma değil. Ağır kaldırmayı yapmak için bu platformların kendi API’lerini kullanarak otomatik ve ölçeklenebilir keşifleri destekleyen bir araç setidir.
Bahis: Doğrulama Neden Önemlidir?
Bu araçlarda bulunan doğrulama testlerini zincirleyerek, saldırganlar aktif tiktok ve Instagram hesaplarının doğrulanmış listelerini oluşturabilir. Kimlik bilgilerini doğrulayarak, kötü niyetli aktörler yeniden satış değerini önemli ölçüde artırır ve kimlik bilgisi doldurma veya kimlik avı gibi gelecekteki saldırılar için güvenilir bir temel sağlar.
Bazı araçlar ve testler, oran sınırlarını ve algılamayı önlemek için döndürülmüş kullanıcı aracıları, sahte cihaz detayları ve randomize istekler. Bu, kimlik bilgilerinin, maruz kalan kimlik bilgilerini izleyen ve temel bot etkinliğinin ötesinde bir sofistike düzeyde gösteren platformlara eklenmediği anlamına geliyor.
Dahası, şifre yeniden kullanımı hala yaygın olduğundan, Instagram veya Tiktok gibi platformlarda kimlik bilgilerini test etmek, saldırganların hangilerinin e-posta, çevrimiçi bankacılık veya e-ticaret hesapları gibi başka bir yerde çalışabileceğini belirlemesine izin verir. Esasen, saldırganlar bu meşru API’leri keşif araçlarına dönüştürerek sömürülebilir kimlikleri haritalamalarına yardımcı oldular.
Kötü niyetli otomasyon, normal davranış olarak gizlenmiş
Bu kimlik bilgisi dama, kötü niyetli otomasyonun tespitten kaçınmak için meşru uygulamalardan nasıl yararlanabileceğinin bir örneğidir. Örneğin, Steinlurks, Instagram’ı hedeflemek için birden fazla işlevi kullandı, farklı uç noktalarda bisiklet sürdü, oturum kimlikleri ve algılamayı önlemek için sahte cihaz detayları.
Bu sadece API istismarı değil; Gerçek kullanıcı trafiği ile karışmak ve geleneksel savunmaların radarı altında uçmak için tasarlanmış gizli, uyarlanabilir otomasyon.
API kötüye kullanımını tespit etmek: Davranış neden önemlidir?
Bu talepler meşru uygulama isteklerine benzediğinden, IP engelleme, oran sınırları veya statik bot algılama gibi geleneksel savunmalar yeterli değildir. Kuruluşlar, bireysel taleplere bakmak yerine API’lerin zamanla nasıl kullanıldığını izleyerek davranışsal tespit gerekir. Bu test araçları geçerli görünmek için hazırlanmış istekler gönderebilirken, uygulamaların davranışlarını bir oturum boyunca çoğaltmazlar.
Wallarm’ın API istismarını önleme yeteneği devreye girer. Aşağıdakiler de dahil olmak üzere istismar belirtilerini tespit etmek için makine öğrenimini (ML) ve istatistiksel analizi birleştiriyoruz.
- Anormal istek oranları veya kalıplar
- Oturum ve IP döndürme davranışları
- Düşük uç nokta çeşitliliği, belirli işlevlere tekrar tekrar vuran botları gösteren
- Olağandışı kimlik doğrulama etkinliği
- Önceden giriş denemeleri olmadan kurtarma akışlarını başlatma gibi niyet tabanlı sinyaller
Wallarm dedektörleri zaman içinde uygulama davranışının belirli yönleri için temel çizgiler oluşturur, daha sonra anormal oturumları tanımlar. Dedektörlerin kombinasyonu, hesap devralma girişimleri gibi belirli kötü niyetli davranışlara işaret etmektedir. Platform şüpheli aktiviteyi algıladığında, kaynağı otomatik olarak engeller veya kısır, kötüye kullanım riskini en aza indirir.
Güvenlik liderleri ne yapmalı
Kimlik bilgisi doğrulama kampanyaları gibi sofistike API istismarına karşı korumak için güvenlik liderleri aşağıdaki adımları atmalıdır:
- API uç noktalarını denetleme: Hesap kurtarma, giriş ve kullanıcı arama uç noktaları dahil olmak üzere açık tüm API’leri düzenli olarak inceleyin. Belgelenmemiş veya gölge API’lerini tanımlamak için API Keşif Araçları kullanın.
- Harden Hata Yanıtları: Bir hesabın var olup olmadığını açıklamaktan kaçınmak için hata mesajlarını standartlaştırın ve sterilize edin.
- Davranışı izleyin, sadece hacim değil: Oran sınırlarının ötesine geçin. Belirli uç noktalara tekrar tekrar erişim veya tutarsız oturum etkinliği gibi olağandışı kalıpları tespit etmek için davranışsal izleme kullanın.
- Gerçek Zamanlı Kötüye Kullanım Önleme: Wallarm gibi, yalnızca hacim veya üstbilgiler değil, otomatik saldırıları niyet ve bağlama dayalı olarak tespit etmek ve engellemek için ML kullanan araçları dağıtın.
- Modelleri sık sık güncelleyin: Tehdit modellerinizde ve risk değerlendirmelerinizdeki yeni istismar yöntemlerini yansıtın. Saldırganlar taktikleri geliştirirken savunmalarınızı geliştirin.
- Veri maruziyetini sınırlayın: API’larınızın hangi verileri geri döndürür ve en az ayrıcalık ilkesini uygular. İhtiyacınız olandan daha fazlasını ortaya çıkarmayın.
- Güvenli Erişim Denetimleri: Hassas operasyonlar için kimlik doğrulama ve yetkilendirme uygulamak. Parola sıfırlamaları gibi uç noktalara anonim olarak erişilemediğinden emin olun.
Nihayetinde, akıllı tasarım, gerçek zamanlı koruma ve sürekli izlemeyi birleştirmek, API’lerinizi yumuşak hedeflerden sertleştirilmiş varlıklara dönüştürmenize yardımcı olacaktır.
Açık API’lerin akıllı savunmalara ihtiyacı var
API’ler açık ve erişilebilir olacak şekilde tasarlanmıştır. Ne yazık ki, bu açıklık risk yaratıyor. Tiktok ve Instagram kimlik bilgisi denetleyici kampanyaları, saldırganların bir alarm vermeden çalınan verileri doğrulamak için API’leri nasıl sessizce kullanabileceğini gösteriyor.
Bu geleneksel anlamda bir ihlal değildi. Sessiz, hesaplanmış bir kötüye kullanımdı, yararlı özellikleri sömürü için araçlara dönüştürdü. Aktif olarak izlemiyorsanız Nasıl API’leriniz kullanılır, sadece ne sıklıkta değil, ilk istismar belirtilerini kaçırıyorsunuz. Ve günümüzün giderek daha hain tehdit manzarasında, erken tespit her şeydir. Wallarm’ın kuruluşunuzu gelişen API istismarından korumaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek ister misiniz? Bir demo planlayın.