APIs carecem de estratégias de cibersegurança

O uso crescente de APIs (Application Programming Interface) como meio para impulsionar os esforços de transformação digital cresceu significativamente nos últimos anos. E a tendência deve ser mantida em 2022. De acordo com uma pesquisa realizada pelo RapidAPI, hub que permite que desenvolvedores e empresas encontrem e gerenciem milhares de APIs, 68,4%  dos mais de 2.200 entrevistados de 130 países e em diferentes funções esperam usar mais APIs em 2022 do que neste ano. Além disso, a maioria (75,5%) dos desenvolvedores indicou que participar da economia de APIs é prioritário para suas organizações agora ou em um futuro próximo. 

APIs internas ainda são o tipo mais comum usados pelos desenvolvedores (74,3%), no entanto, mais entrevistados (49,1%) relataram estar trabalhando com APIs de terceiros. APIs de parceiros tiveram o aumento mais significativo em 2021 (44,3% contra 34,6% em 2020). 

Segurança, privacidade e testes continuam sendo importantes áreas de foco (para mais de 90% dos desenvolvedores). Os três tipos mais populares de testes realizados em 2021 foram os funcionais (29,5%), de integração (26,8%) e de aceitação (16,3%).  

Apesar da relevância dos testes para quase todos os desenvolvedores de APIs, incidentes de segurança relacionados a APIs aumentaram nos últimos anos.  Em um caso de agosto, por exemplo, dezenas de organizações usuárias do Microsoft Power Apps tiveram inadvertidamente 38 milhões de registros expostos devido a problemas na configuração de APIs, segundo pesquisadores da UpGuard. “Esse problema é sistêmico, não ocorreu apenas com o Microsoft Power Apps, mas também com Amazon Web Services S3, Elasticsearch e MongoDB”, destacou Radu Crahmaliuc da Bitdefender. 

Em outro caso recente, do início de dezembro, foi revelada uma vulnerabilidade em uma API baseada na especificação GraphQL implementada por uma importante plataforma B2B (fintech) que oferece serviços financeiros na forma de aplicativos móveis e software como serviço (SaaS) para pequenas e médias empresas. Explorando essas duas vulnerabilidades, qualquer indivíduo poderia submeter transações não autorizadas e também coletar dados confidenciais de clientes. Em outros palavras, invasores poderiam transferir fundos da conta de clientes sem conhecimento e consentimento deles. A plataforma financeira também apresentava uma outra brecha de segurança por meio da qual chamadas de API poderiam acessar endpoints sem a necessidade de autenticação.  

Cibercriminosos estão atacando APIs porque seus desenvolvedores, em geral, têm pouco ou nenhum conhecimento sobre cibersegurança, explica um relatório da Salt Security que revelou que 62% das organizações não têm nenhuma estratégia de segurança para APIs ou, quando as têm, é muito básica. Em um período de 6 meses (dezembro de 2020 a junho de 20210, o tráfego geral de APIs cresceu 141%, enquanto o volume de APIs mal-intencionadas aumentou 348%.  

Dados levantados pela Salt Security também ressaltam que nesses casos estavam sendo usados WAFs (Web Application Firewalls) e gateways de API implantados, o que quer dizer que os ataques via APIs ultrapassaram os controles de cibersegurança tradicionais. 

APIs desatualizadas ou “zumbis” são a principal preocupação para 40% dos entrevistados, quase o triplo do segunda maior área preocupante, a apropriação de contas. Segundo a Salt Security, atualizações frequentes de aplicativos são a maior responsável pelo produção de APIs zumbis, que podem levar a riscos e exposição de dados não monitorados. 

Questões associadas à segurança das APIs estão atrasando o lançamento de aplicativos de negócios para dois terços dos entrevistados (64%) pela Salt Security. APIs são críticas porque movimentam dados e executam serviços em grande volume, que geralmente são fundamentais para os processos das empresas. Retardar a disponibilidade de aplicativos ou tê-los à disposição, mas com problemas  de segurança, pode representar prejuízos financeiros, danos à reputação, perda de clientes ou tudo isso junto. 

Falta de mão de obra é outro desafio 

Na pesquisa da RapidAPI, a falta de engenheiros de software ou outros profissionais associados ao universo das APIs é o principal desafio previsto para 2022, com mais de 56,8% dos desenvolvedores antecipando esse problema. 

“Todas as empresas estão acelerando a transição para canais digitais e investindo em desenvolvimento para possibilitar essa mudança. Por outro lado, desenvolvedores estão se tornando escassos – estamos vendo uma enorme lacuna entre disponibilidade de mão de obra e a oferta de vagas de emprego, fazendo com que as empresas recorram a recursos que tornem o desenvolvimento mais produtivos – em especial, APIs”, explica Iddo Gino, CEO e fundador da RapidAPI.  

Porém, ainda que sejam uma grande promessa para os negócios, as APIs também representam um grande risco de segurança e devem ser tratadas adequadamente. O Gartner já alerta que, em 2022, ataques a APIs se tornarão o vetor de ataque mais frequente, causando importantes violações de dados em aplicações Web corporativos.