As vulnerabilidades poderiam ter permitido o controle de contas ou acesso para comprometer servidores internos do LEGO Group
A Salt Security, empresa líder em segurança de API, divulgou um novo relatório de ameaças do Salt Labs destacando duas vulnerabilidades de segurança de API descobertas na BrickLink, plataforma de revenda digital de propriedade do The LEGO® Group. Com mais de um milhão de membros, a Bricklink é o maior mercado on-line do mundo para comprar e vender LEGO de segunda mão.
As falhas de segurança da API poderiam ter permitido ataques de aquisição de conta (ATO) em larga escala nas contas dos clientes e comprometido o servidor interno, permitindo aos agentes mal-intencionados manipular os usuários da plataforma para obter controle total sobre suas contas, além de vazar informações pessoais identificáveis (PII) e outros dados confidenciais de usuários armazenados internamente pela plataforma.
Tais agentes também poderiam ter obtido acesso aos dados internos de produção, o que poderia ter levado a um comprometimento total dos servidores internos da empresa.
Vulnerabilidades corrigidas
O Salt Labs, braço de pesquisa da Salt Security que atua também como um fórum público para educação em segurança de APIs, descobriu essas lacunas de segurança e forneceu a análise de vulnerabilidade. Na sequência, os pesquisadores do Salt Labs seguiram práticas de divulgação coordenadas com a LEGO e a equipe da companhia solucionou todos os problemas rapidamente.
“Hoje, quase todos os setores de negócios aumentaram o uso de APIs para permitir novas funcionalidades e agilizar a conexão entre os consumidores e dados e serviços vitais”, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security.
“Como resultado, as APIs se tornaram um dos maiores e mais significativos vetores de ataque para obter acesso aos sistemas da empresa e aos dados do usuário. À medida que as organizações escalam rapidamente, muitas permanecem inconscientes do grande volume de riscos e vulnerabilidades de segurança de API que existem em suas plataformas, deixando as empresas e seus valiosos dados expostos a agentes mal-intencionados.”
De acordo com o Relatório sobre o Estado da Segurança de API do Salt Labs – Terceiro Trimestre 2022, os clientes da Salt experimentaram um aumento de 117% no tráfego de ataques de API, enquanto seu tráfego geral de API cresceu 168%.
A Plataforma de Proteção de API da Salt permite que as empresas identifiquem riscos e vulnerabilidades nas APIs antes que elas sejam exploradas por invasores, incluindo aqueles listados no OWASP API Top 10.
A plataforma protege as APIs em todo o seu ciclo de vida – fases de criação, implantação e tempo de execução – utilizando big data em escala de nuvem combinado com IA e ML para fazer a linha de base de milhões de usuários e APIs.
Ao fornecer insights baseados em contexto em todo o ciclo de vida da API, a Salt permite que os usuários detectem a atividade de reconhecimento de pessoas mal-intencionadas e as bloqueiem antes que possam atingir seu objetivo. As explorações que a equipe do Salt Labs realizou na LEGO teriam acionado imediatamente a plataforma Salt para deter o ataque.
Sobre a Salt Security
A Salt Security protege as APIs que formam o núcleo de todos os aplicativos modernos. Sua plataforma de proteção de API patenteada é a única solução de segurança de API que combina o poder de big data em escala de nuvem e ML/IA testada ao longo do tempo para detectar e prevenir ataques de API.
Ao correlacionar atividades em milhões de APIs e usuários ao longo do tempo, a Salt oferece um contexto profundo com análise em tempo real e insights contínuos para descoberta de API e prevenção de ataques, levando segurança a cada etapa do ciclo de vida das APIs.
Implantada em minutos e perfeitamente integrada aos sistemas existentes, a plataforma Salt oferece aos clientes valor e proteção imediatos, para que possam inovar com confiança e acelerar suas iniciativas de transformação digital. Para mais informações, visite: https://salt.security.
O 5G pode transformar definitivamente a educação
Golpes e Fraudes: a necessidade da educação financeira para formação de redes de proteção
Assinatura eletrônica não é sinônimo de assinatura digital. Por Regina Tupinambá
Brasileiros confiam mais no setor de tecnologia do que na média global, diz estudo da Edelman
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!