Barracuda full logo

Sombras, zombies e a API aberta da Twilio

Tópicos:
9 jul. 2024
|
Tushar Richabadas

Não invejo os autores das várias listas OWASP Top 10. Existem tantas vulnerabilidades em aplicações web e APIs, e apenas 10 são incluídas em cada lista (CWEs para cada item, não obstante). Por exemplo, a lista OWASP TOP 10 API 2023 agora "não inclui" Registo e Monitorização Insuficientes.

Avançamos para as nossas histórias de a-história-repete-se.

Começaremos com a "violação de dados do Trello" no início de 2024. Um endpoint da API do Trello permitiu consultas não autenticadas usando endereços de e-mail e respondeu com nomes de utilizadores, nomes completos e outras informações de conta. O agente da ameaça parece ter raspado os dados de cerca de 15 milhões de utilizadores, validando endereços de e-mail "divulgados em outras violações" contra a API do Trello.

 

Publicação no X (anteriormente Twitter) sobre a fuga de dados do Trello

Fuga de dados do Trello partilhada nas redes sociais, via @H4ckManac

 

É apenas uma questão de tempo até que os testes de reutilização de palavras-passe permitam que as pessoas assumam o controlo de contas Trello, semelhante ao que aconteceu com o Disney+ quando foi lançado em 2019 .

O que mais me incomodou nisto foi que a violação foi descoberta – ou assim me parece – quando o agente da ameaça lançou os dados para venda. Isto significa algumas coisas, mas há dois erros de configuração consistentes neste tipo de violação:

  • Falta de limitação de taxa eficaz
  • Falta de registos e alertas (que teriam alertado a equipa do Trello sobre a violação em curso!)

Estas condições também foram observadas na recente violação da Dell – e agora, com a nova violação da Twilio.

 

ShinyHunters a partilhar dados do Twilio Authy num fórum de hackers

ShinyHunters a partilhar dados do Twilio Authy num fórum de hackers, via Bleeping Computer

 

A violação da Twilio é um pouco mais dolorosa para mim do que a violação da Dell porque aconteceu através de um endpoint Authy desprotegido. Authy é uma aplicação de autenticação de dois fatores. O facto de ter um endpoint de API não autenticado sem quaisquer outras proteções é um problema enorme, dado que este é principalmente um produto de segurança. Ainda mais grave é – e pelo que li até agora, isto é verdade – o facto de que esta violação não foi notada até que os atores da ameaça divulgaram os dados.

Os dados que vazaram até agora incluem números de telefone, contas e detalhes do dispositivo - sem nomes de utilizador ou palavras-passe. Os atores da ameaça sugeriram validar esses números de telefone contra as bases de dados de violações de criptomoeda Gemini e Nexo. Comparações adicionais com outras bases de dados de violações provavelmente revelarão palavras-passe reutilizadas e, em combinação com Smishing, isso provavelmente levará a algum roubo de criptomoedas ou apropriações de contas (ATOs).

Segurança de API

O número de violações devido a APIs não seguras é demasiado elevado. A segurança não acompanhou o ritmo à medida que passámos para aplicações baseadas principalmente em APIs. Eu estimaria que a segurança de APIs está onde a segurança de aplicações web estava em 2004. A lista OWASP para segurança de APIs está na sua segunda iteração. As equipas de segurança estão agora a começar a trabalhar na construção de frameworks de governação de APIs e na construção de frameworks para proteger as suas APIs. No entanto, se expuser essa API de teste para algo sem qualquer proteção, acabará com outra violação de dados.

Porque é que isto acontece? O número de atacantes motivados que tomam notas de cada violação e têm acesso à automação é muito maior do que em 2004. Existem fóruns, canais de telegrama e outras plataformas online onde os atacantes podem partilhar malware, exploits e informações sobre como ganhar dinheiro com estes ataques. Com automação e inteligência artificial na equação, até hackers com poucas competências podem realizar ataques avançados à API.

Então, o que poderia a Twilio ter feito para evitar esta violação?

  • Políticas de governação da API que garantiam que todos estes endpoints eram conhecidos e seguros
  • Controlo de acesso para todos os endpoints
  • Limitação de taxa eficaz que pode identificar e abrandar/bloquear ataques automatizados lentos e discretos
  • Melhor alerta para notificá-los sobre atividade anómala

Quando se trata de segurança de API, adoro usar a seguinte imagem para mostrar o problema –

 

Imagem do Iceberg da API que ilustra a perceção das APIs conhecidas, shadow e zombie APIs

Imagem do Iceberg da API que ilustra a perceção das APIs conhecidas, shadow e zombie APIs

 

Tem as suas APIs conhecidas representadas pela parte visível do iceberg, que é mais provável de estar segura. Mas depois tem as APIs desconhecidas:

  • APIs Sombra que se espera que funcionem, mas que são desconhecidas para a equipa de segurança e não são seguras.
  • APIs legadas/zombie que não deveriam estar a funcionar, como uma versão mais antiga de um endpoint de API, mas que ainda estão abertas, a responder e sem segurança.

A Barracuda pode ajudar

O artigo de hoje é patrocinado por… Barracuda Application Protection! Barracuda Application Protection é uma plataforma abrangente de aplicação web e proteção de API que é fácil de usar e gerir. Neste caso, fornece as seguintes proteções relevantes –

  • A Descoberta de API com tecnologia de aprendizagem automática utiliza dados de tráfego em tempo real para identificar endpoints de API (Shadow ou outros) e, em seguida, ativa automaticamente a proteção para os endpoints de API descobertos.
  • Limitação Avançada de Taxa e Tarpits que podem funcionar tanto numa configuração por IP como por dispositivo. A configuração por dispositivo é muito útil quando os seus clientes estão atrás de um NAT e utilizam vários dispositivos.
  • Aplicação de autorização até ao nível do parâmetro, com integrações com JWT e certificados de cliente. Isto inclui a capacidade de aplicar VBAAC e ABAC.
  • Proteção contra Apropriação de Conta com tecnologia de Aprendizagem Automática com múltiplas camadas de proteção, incluindo proteção contra preenchimento de credenciais (para contas conhecidas comprometidas) e Proteção de Conta Privilegiada (para contas que foram recentemente assumidas).
  • Proteção Avançada contra Bots potenciada por Machine Learning que identifica e bloqueia os bots mais avançados, incluindo scrapers.
  • Registo detalhado e alertas, incluindo integrações com soluções SIEM/SOAR/XDR como Azure Sentinel, Splunk, SumoLogic, Barracuda XDR, e mais.

A Barracuda oferece proteção completa de aplicações e a plataforma de cibersegurança mais abrangente da indústria, que defende todos os vetores de ataque com inteligência em tempo real sobre ameaças e resposta a incidentes. Visite o nosso website para ver como defendemos e-mail, redes, aplicações e dados.

 

 

Tushar Richabadas

Tushar Richabadas é o Gestor Sénior de Marketing de Produto, Aplicações e Segurança na Nuvem, na Barracuda. Antes deste cargo, Tushar foi Gestor de Produto para o Barracuda Web Application Firewall e Barracuda Load Balancer ADC, com foco na nuvem e automação. Tushar tem uma vasta experiência, desde liderar equipas de testes de produtos de rede e marketing técnico para a HCL-Cisco. Tushar acompanha de perto o impacto crescente da segurança digital e é apaixonado por simplificar a segurança digital para todos.

Conecte-se com ele no LinkedIn aqui.

Artigos Relacionados:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 DarkBard: The “Evil Twin” of Google Bard
DarkBard: The “Evil Twin” of Google Bard
 Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.