Vulnerabilidades em fintechs impulsionam segurança de APIs. A Salt Security anunciou que uma série de problemas foram apontados pela equipe interna de pesquisa da companhia – a Salt Labs.
Entre essas vulnerabilidades de API, foi identificada uma significativa falha de segurança na plataforma digital de uma empresa FinTech sediada nos Estados Unidos. A plataforma entrega uma ampla gama de serviços bancários digitais para milhares de bancos e milhões de clientes.
O trabalho de pesquisa identificou vulnerabilidades de API capazes de permitir o acesso a contas administrativas na plataforma, com possibilidade de vazamento de dados pessoais de usuários, acesso a seus dados bancários e transações financeiras; e também realizar transferências não autorizadas de fundos para suas próprias contas bancárias.
“A investigação do Salt Labs ganha ainda maior relevância pelo fato de esta FinTech oferecer um serviço de transformação digital para bancos de todos os portes, permitindo que eles entreguem online muitos de seus serviços bancários tradicionais, através de uma plataforma já ativamente integrada aos sistemas de muitos bancos e cooperativas de crédito, com seus serviços sendo usados diariamente por milhões de pessoas”, comenta Daniela Costa, diretora de vendas para a América Latina da Salt Security.
Segurança de APIs: ataques representam altos lucros
Plataformas como este sistema da FinTech são consideradas alvos prioritários por criminosos em busca de vulnerabilidades da API, por duas razões principais. Em primeiro lugar, o universo das APIs com suas funcionalidades é muito rico e complexo, deixando muito espaço para erros no processo de desenvolvimento. Em segundo: se um criminoso tem sucesso em um ataque a este tipo de plataforma, os lucros potenciais são enormes.
“Este caso reforça a importância de sempre se buscar o equilíbrio entre a demanda por uma rápida entrega de uma solução eficiente e a prioridade absoluta que a segurança sempre teve ter, como a fórmula ideal para se mitigar riscos”, explica Daniela.
A executiva destaca que o emprego de APIs de terceiros é um dos fundamentos do Open Banking.
“Todos os problemas detectados nesta investigação foram corrigidos e faz parte da missão mais ampla do Salt Labs compartilhar as descobertas como forma de aumentar a conscientização em torno das vulnerabilidades das APIs. A análise incluiu detalhes do padrão de ataque e quais as técnicas mais adequadas para aumentar a segurança de API.”
A executiva chama a atenção para o fato de, para evitar fugas de informação sensível e interrupção de serviços, as equipes de segurança e desenvolvimento devem trabalhar em colaboração.
“Proteções estáticas, aliadas a análises ao longo do tempo para identificar anomalias no tráfego da API, entregam uma segurança mais eficaz. O aspecto mais preocupante nesta situação é que todo o trabalho de pesquisa sobre vulnerabilidades e ataques a APIs que o Salt Labs realizou passou completamente despercebido por esta FinTech”.
