כשלים בממשקי API פוגעים בפרטיות גולשים

כשלים בממשקי API הופכים להיות נפוצים ככל ששירותים מקוונים משתפים אחד עם השני מידע. כאשר מדובר באתר היכרויות, כשל בממשק כזה יכול לחשוף נתונים רגישים. זה מה שקרה לאחרונה לאתר ההיכרויות Bumble. האתר הוא יישום חברתי (אתר ויישום סלולרי) מבוסס מיקום, המאפשר תקשורת בין משתמשים המעוניינים בכך. במפגשים הטרוסקסואליים, רק נשים יכולות ליצור קשר ראשון עם משתמשים גברים, בעוד שבמפגשים חד מיניים כל אחד יכול לשלוח הודעה ראשונה.

בעבודת מחקר שפורסמה לאחרונה ע"י החוקרת סנג'אנה סרדה נמצאה סדרת כשלים במימוש API של האתר, ובהם יכולת לעקוף את מנגנון תשלום הפרימיום, וחמור מכך התאפשרה הגעה למידע אישי כגון כתובת, נטיה מינית, פוליטיות, השכלה, גובה ומשקל של כ 100 מיליון משתמשי הפלטפורמה, תוך הפרה ברורה של פרטיותם. בהנתן המידע, תוקף יכול להגיע אל משתמש ספציפי, חמוש במידע על נטייתו המינית כמו גם מידע רגיש אחר.

מקרה נוסף של דליפת מידע מאתר היכרויות התרחש באתר OkCupid ביולי האחרון. התוקפים יכלו לנצל פגמים שונים באפליקציה הסלולרית ובדף האינטרנט של OkCupid כדי לגנוב את הנתונים הרגישים של המשתמשים ואף לשלוח הודעות מהפרופילים שלהם.

במקרה אחר, דלף מידע מממשק API של האפליקציה הסלולרית 3Date. "אנו יכולים לזהות פיסות מידע המדליפות מידע אודות ה- API. לדוגמה, שם השרת וגרסתו. זה עשוי לאפשר לתוקפים לזהות תוכנה שלא הותקנה", נכתב במחקר. "התגובה מהממשק מציינת גם שהסיסמה שהזנו שגויה, מה שמאפשר לתוקף לקבוע שחשבון נרשם באותה כתובת דוא"ל." כשלי אבטחה התגלו גם בממשק API ביישום Hinge, גם הוא משמש להכרויות. לפי החוקרים, תוקף יכול לנצל את הממשק על מנת לגשת למידע פרטי באינסטגרם.

"הגנה אקטיבית על API עוזרת למנוע זליגת מידע. הבעיה מחמירה ככל שהתלות העסקית בשירותים אלו עולה ודינמיות השינוי שלהם גדלה אף היא. אופי הפרצות המתוארות באתר זה, חיות וקיימות כמעט בכל מימוש API ארגוני", מסביר ישראל גרוס מייסד-שותף בחברת L7 Defense.

"מספר הנקודות הנדרשות להגנה גדול מאד וסביר להניח, כי באיזו נקודה חסרה הגנה, קיים כשל בבדיקת הרשאות או יש חשיפה אחרת במנגנון המימוש. זאת, כאשר ארגונים מתקשים להגן על APIs במודל הקיים על ידי סריקת קוד או "השתלת" קוד הגנה בתוך ממשק הAPI.

"בנוסף, הליך ההגנה על הממשק סוחב עלויות הקמה ותחזוקה משמעותיות. בראייה שלנו כחברת הגנת API, נדרש כלי הגנה חיצוני לAPI ולקוד, עם יכולות תואמות בעיה. כלומר, הבנת הקשר פעילות ה-API. זה מה שאנחנו עושים ב L7 Defense." 

ימים יגידו לאן יתפתח תחום ה SECURITY API הנמצא עדיין בראשיתו, ואולם ברור כבר עכשיו כי הנושא לא ירד מעל סדר היום מכיוון שכמעט כל פריצות המערכת המדווחות כיום עוברות דרך מתקפות על API.