JÁ SOU ALUNO
Imagem ilustrativa com o nome API centralizado, e atrás diversos códigos em tons de azul, branco, amarelo e verde.
Home » Artigos e Notícias » Fraudes em APIs: evite prejuízos e proteja os usuários

Fraudes em APIs: como evitar prejuízos financeiros e proteger os usuários 

As APIs (Application Programming Interfaces) são ferramentas de software cada vez mais utilizadas em diversas áreas, sobretudo no setor financeiro. Contudo, a falta de segurança nessas interfaces pode resultar na perda de dados, roubo de identidade e fraudes financeiras, causando prejuízos tanto para as empresas quanto para os usuários. 

Para garantir a proteção em desenvolvimentos que utilizem APIs, é essencial implementar medidas de segurança adequadas e capacitar os desenvolvedores para lidar com possíveis vulnerabilidades e ataques. Os desenvolvedores são os responsáveis por garantir que as interfaces estejam adequadamente protegidas contra ameaças cibernéticas

A implementação de codificação segura em APIs envolve a utilização de técnicas e boas práticas de desenvolvimento de software. Entre elas, destacam-se a validação de entrada de dados, a criptografia de dados em trânsito e em repouso, e a utilização de autenticação e autorização para acesso a dados sensíveis

Além da codificação segura, a utilização de instrumentos de segurança em APIs é fundamental para garantir a proteção de dados e informações importantes. Entre as medidas mais eficazes estão a implementação de firewalls de aplicação, ferramentas de monitoramento de tráfego e ferramentas de gerenciamento de identidade e acesso

Falhas de segurança podem trazer grandes prejuízos 

A importância da segurança em APIs foi ressaltada em novembro de 2020, quando a Nubank, uma fintech brasileira, teve uma falha de segurança em sua API do PIX, o sistema de pagamentos instantâneos do Banco Central do Brasil. A vulnerabilidade permitiu que usuários mal-intencionados alterassem o valor e o destinatário de transações, possibilitando a realização de fraudes. 

De acordo com o jornal Estadão, “a falha permitia que um golpista substituísse o valor da transação originalmente definido pela vítima, bem como o destino da transação”. Além disso, uma matéria do site Canaltech destacou que, “com essa vulnerabilidade, um atacante poderia alterar um valor de R$ 50, por exemplo, para R$ 5.000 e enviar esse dinheiro para uma conta de terceiros sem a necessidade de autenticação adicional”. 

Além do caso da Nubank, outros exemplos internacionais mostram a importância da segurança em APIs. Em 2017, a empresa de crédito Equifax sofreu uma violação de segurança que afetou mais de 143 milhões de clientes. Já em 2018, a Coinbase, uma das principais corretoras de criptomoedas do mundo, teve uma vulnerabilidade explorada em sua API que permitiu que usuários pagassem em Bitcoin Cash e recebessem reembolsos em Bitcoin, causando prejuízos para a empresa. 

Diante desse cenário, é essencial que empresas que fornecem APIs adotem medidas de segurança adequadas e estejam sempre atentas a possíveis ameaças e vulnerabilidades. Capacitar os desenvolvedores com conhecimentos sobre segurança em APIs também é crucial para garantir a proteção das interfaces. 

Com medidas adequadas de segurança e desenvolvedores capacitados, é possível minimizar os riscos de ataques em APIs e garantir a confiabilidade e a segurança dessas interfaces tão importantes para o setor financeiro. 

Conte com a CECyber para garantir a segurança em APIs 

Apesar da seriedade do tema, não há problema em tornar a segurança em APIs mais “divertida”. Afinal, um incidente em uma API pode ser tão dramático quanto um episódio da série Mr. Robot. Uma falha de segurança pode levar a prejuízos enormes para empresas e usuários, e o combate a essas ameaças podem ser tão emocionantes quanto um jogo de videogame. 

Por isso, investir em segurança em APIs é importante e necessário para qualquer empresa. E para capacitar os desenvolvedores nessa área, a CECyber oferece cursos de desenvolvimento seguro de software, como o curso Secure Development Professional, que conta com aulas preparadas e ministradas por membros da OWASP e laboratórios 100% práticos

Com esses cursos, os desenvolvedores podem aprender não apenas sobre a segurança em APIs, mas sobre segurança em código como um todo, o que é essencial em um mundo cada vez mais digital e interconectado. Para se tornar um especialista na área, conte com a CECyber. 

Referências:  

Nubank: 

“Nubank corrige falha que permitia fraude no Pix” – matéria do Estadão, publicada em 23 de novembro de 2020. Disponível em: https://economia.estadao.com.br/noticias/geral,nubank-corrige-falha-que-permitia-fraude-no-pix,70003541833

“Nubank corrige falha no PIX que permitia fraude” – matéria do Canaltech, publicada em 23 de novembro de 2020. Disponível em: https://canaltech.com.br/seguranca/nubank-corrige-falha-no-pix-que-permitia-fraude-176109/

“Nubank corrige falha de segurança que permitia fraudes no Pix” – matéria do G1, publicada em 23 de novembro de 2020. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2020/11/23/nubank-corrige-falha-de-seguranca-que-permitia-fraudes-no-pix.ghtml

Equifax: 

“Equifax: 143 million people could be affected by US data breach” – matéria da BBC News, publicada em 8 de setembro de 2017: https://www.bbc.com/news/world-us-canada-41198351 

“Equifax hack: How to protect yourself from what’s coming next” – matéria da CNN Business, publicada em 8 de setembro de 2017: https://www.cnn.com/2017/09/08/tech/equifax-hack-how-to-protect-yourself/index.html 

“Equifax to pay up to $700m to settle data breach lawsuits” – matéria do The Guardian, publicada em 22 de julho de 2019: https://www.theguardian.com/technology/2019/jul/22/equifax-data-breach-settlement-lawsuits 

Coinbase: 

“Coinbase bug let anyone give themselves unlimited cryptocurrency” – matéria do The Verge, publicada em 13 de agosto de 2020: https://www.theverge.com/2020/8/13/21366438/coinbase-bug-cryptocurrency-unlimited-spending 

“Coinbase says it halted more than $280,000 in bitcoin transactions during Twitter hack” – matéria da CNBC, publicada em 16 de julho de 2020: https://www.cnbc.com/2020/07/16/coinbase-halted-more-than-280000-in-bitcoin-transactions-during-twitter-hack.html 

“Coinbase discloses possible vulnerability, denies platform breached” – matéria do CoinDesk, publicada em 15 de agosto de 2020: https://www.coindesk.com/coinbase-discloses-possible-vulnerability-denies-platform-breached 

Venmo: 

“Venmo payments exposed to public? That’s reportedly what happened” – matéria da CNET, publicada em 25 de fevereiro de 2018: https://www.cnet.com/personal-finance/venmo-payments-exposed-to-public-thats-reportedly-what-happened/ 

“Venmo API flaw exposed users’ transactions” – matéria da ZDNet, publicada em 26 de fevereiro de 2018: https://www.zdnet.com/article/venmo-api-flaw-exposed-users-transactions/ 

“Venmo is going after small businesses with its latest app update” – matéria do TechCrunch, publicada em 6 de abril de 2021: https://techcrunch.com/2021/04/06/venmo-is-going-after-small-businesses-with-its-latest-app-update/ 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

28 de fevereiro de 2023
No Comment

[email protected]

Av. Marquês de São Vicente, 576, 7º andar - Várzea da Barra Funda - São Paulo/SP - CEP 01139-000

(11) 3042-0490

(11) 99440-7801

Segunda a Sexta das 9h às 18h (exceto feriados)

Linkedin-in Facebook-f Instagram Youtube
Termos e Condições
Política de Privacidade
© Copyright - CECyber - Todos os direitos reservados.