Fraudes em APIs: como evitar prejuízos financeiros e proteger os usuários
As APIs (Application Programming Interfaces) são ferramentas de software cada vez mais utilizadas em diversas áreas, sobretudo no setor financeiro. Contudo, a falta de segurança nessas interfaces pode resultar na perda de dados, roubo de identidade e fraudes financeiras, causando prejuízos tanto para as empresas quanto para os usuários.
Para garantir a proteção em desenvolvimentos que utilizem APIs, é essencial implementar medidas de segurança adequadas e capacitar os desenvolvedores para lidar com possíveis vulnerabilidades e ataques. Os desenvolvedores são os responsáveis por garantir que as interfaces estejam adequadamente protegidas contra ameaças cibernéticas.
A implementação de codificação segura em APIs envolve a utilização de técnicas e boas práticas de desenvolvimento de software. Entre elas, destacam-se a validação de entrada de dados, a criptografia de dados em trânsito e em repouso, e a utilização de autenticação e autorização para acesso a dados sensíveis.
Além da codificação segura, a utilização de instrumentos de segurança em APIs é fundamental para garantir a proteção de dados e informações importantes. Entre as medidas mais eficazes estão a implementação de firewalls de aplicação, ferramentas de monitoramento de tráfego e ferramentas de gerenciamento de identidade e acesso.
Falhas de segurança podem trazer grandes prejuízos
A importância da segurança em APIs foi ressaltada em novembro de 2020, quando a Nubank, uma fintech brasileira, teve uma falha de segurança em sua API do PIX, o sistema de pagamentos instantâneos do Banco Central do Brasil. A vulnerabilidade permitiu que usuários mal-intencionados alterassem o valor e o destinatário de transações, possibilitando a realização de fraudes.
De acordo com o jornal Estadão, “a falha permitia que um golpista substituísse o valor da transação originalmente definido pela vítima, bem como o destino da transação”. Além disso, uma matéria do site Canaltech destacou que, “com essa vulnerabilidade, um atacante poderia alterar um valor de R$ 50, por exemplo, para R$ 5.000 e enviar esse dinheiro para uma conta de terceiros sem a necessidade de autenticação adicional”.
Além do caso da Nubank, outros exemplos internacionais mostram a importância da segurança em APIs. Em 2017, a empresa de crédito Equifax sofreu uma violação de segurança que afetou mais de 143 milhões de clientes. Já em 2018, a Coinbase, uma das principais corretoras de criptomoedas do mundo, teve uma vulnerabilidade explorada em sua API que permitiu que usuários pagassem em Bitcoin Cash e recebessem reembolsos em Bitcoin, causando prejuízos para a empresa.
Diante desse cenário, é essencial que empresas que fornecem APIs adotem medidas de segurança adequadas e estejam sempre atentas a possíveis ameaças e vulnerabilidades. Capacitar os desenvolvedores com conhecimentos sobre segurança em APIs também é crucial para garantir a proteção das interfaces.
Com medidas adequadas de segurança e desenvolvedores capacitados, é possível minimizar os riscos de ataques em APIs e garantir a confiabilidade e a segurança dessas interfaces tão importantes para o setor financeiro.
Conte com a CECyber para garantir a segurança em APIs
Apesar da seriedade do tema, não há problema em tornar a segurança em APIs mais “divertida”. Afinal, um incidente em uma API pode ser tão dramático quanto um episódio da série Mr. Robot. Uma falha de segurança pode levar a prejuízos enormes para empresas e usuários, e o combate a essas ameaças podem ser tão emocionantes quanto um jogo de videogame.
Por isso, investir em segurança em APIs é importante e necessário para qualquer empresa. E para capacitar os desenvolvedores nessa área, a CECyber oferece cursos de desenvolvimento seguro de software, como o curso Secure Development Professional, que conta com aulas preparadas e ministradas por membros da OWASP e laboratórios 100% práticos.
Com esses cursos, os desenvolvedores podem aprender não apenas sobre a segurança em APIs, mas sobre segurança em código como um todo, o que é essencial em um mundo cada vez mais digital e interconectado. Para se tornar um especialista na área, conte com a CECyber.
Referências:
Nubank:
“Nubank corrige falha que permitia fraude no Pix” – matéria do Estadão, publicada em 23 de novembro de 2020. Disponível em: https://economia.estadao.com.br/noticias/geral,nubank-corrige-falha-que-permitia-fraude-no-pix,70003541833.
“Nubank corrige falha no PIX que permitia fraude” – matéria do Canaltech, publicada em 23 de novembro de 2020. Disponível em: https://canaltech.com.br/seguranca/nubank-corrige-falha-no-pix-que-permitia-fraude-176109/.
“Nubank corrige falha de segurança que permitia fraudes no Pix” – matéria do G1, publicada em 23 de novembro de 2020. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2020/11/23/nubank-corrige-falha-de-seguranca-que-permitia-fraudes-no-pix.ghtml.
Equifax:
“Equifax: 143 million people could be affected by US data breach” – matéria da BBC News, publicada em 8 de setembro de 2017: https://www.bbc.com/news/world-us-canada-41198351
“Equifax hack: How to protect yourself from what’s coming next” – matéria da CNN Business, publicada em 8 de setembro de 2017: https://www.cnn.com/2017/09/08/tech/equifax-hack-how-to-protect-yourself/index.html
“Equifax to pay up to $700m to settle data breach lawsuits” – matéria do The Guardian, publicada em 22 de julho de 2019: https://www.theguardian.com/technology/2019/jul/22/equifax-data-breach-settlement-lawsuits
Coinbase:
“Coinbase bug let anyone give themselves unlimited cryptocurrency” – matéria do The Verge, publicada em 13 de agosto de 2020: https://www.theverge.com/2020/8/13/21366438/coinbase-bug-cryptocurrency-unlimited-spending
“Coinbase says it halted more than $280,000 in bitcoin transactions during Twitter hack” – matéria da CNBC, publicada em 16 de julho de 2020: https://www.cnbc.com/2020/07/16/coinbase-halted-more-than-280000-in-bitcoin-transactions-during-twitter-hack.html
“Coinbase discloses possible vulnerability, denies platform breached” – matéria do CoinDesk, publicada em 15 de agosto de 2020: https://www.coindesk.com/coinbase-discloses-possible-vulnerability-denies-platform-breached
Venmo:
“Venmo payments exposed to public? That’s reportedly what happened” – matéria da CNET, publicada em 25 de fevereiro de 2018: https://www.cnet.com/personal-finance/venmo-payments-exposed-to-public-thats-reportedly-what-happened/
“Venmo API flaw exposed users’ transactions” – matéria da ZDNet, publicada em 26 de fevereiro de 2018: https://www.zdnet.com/article/venmo-api-flaw-exposed-users-transactions/
“Venmo is going after small businesses with its latest app update” – matéria do TechCrunch, publicada em 6 de abril de 2021: https://techcrunch.com/2021/04/06/venmo-is-going-after-small-businesses-with-its-latest-app-update/
Comments are closed.