La violazione dei dati di Twitter mostra che le API sono una miniera d’oro per PII e ingegneria sociale

Una vulnerabilità dell’API di Twitter spedito nel giugno 2021 (e successivamente patchato) è tornato a perseguitare l’organizzazione. A dicembre, un hacker ha affermato di avere i dati personali di 400 milioni di utenti in vendita sul dark web, e proprio ieri, gli aggressori rilasciato i dettagli dell’account e gli indirizzi e-mail di 235 milioni di utenti gratuitamente.

Le informazioni esposte come parte della violazione includono i nomi degli account degli utenti, gli handle, la data di creazione, il conteggio dei follower e gli indirizzi e-mail. Quando messi insieme, gli attori delle minacce possono creare campagne di ingegneria sociale per indurre gli utenti a gestire i propri dati personali.

Sebbene le informazioni esposte fossero limitate alle informazioni pubblicamente disponibili degli utenti, l’elevato volume di account esposti in un’unica posizione fornisce agli attori delle minacce una miniera d’oro di informazioni che possono utilizzare per orchestrare attacchi di ingegneria sociale altamente mirati.

Twitter: una miniera d’oro di ingegneria sociale

I giganti dei social media offrono ai criminali informatici una miniera d’oro di informazioni che possono utilizzare per condurre truffe di ingegneria sociale.

Con solo un nome, un indirizzo e-mail e informazioni contestuali tratte dal profilo pubblico di un utente, un hacker può condurre ricognizioni su un obiettivo e sviluppare truffe e campagne di phishing appositamente progettate per indurlo a gestire le informazioni personali.

“Questa fuga essenzialmente doxxe gli indirizzi e-mail personali di utenti di alto profilo (ma anche di utenti regolari), che possono essere utilizzati per molestie da spam e persino tentativi di hacking di tali account”, ha affermato Miklos Zoltan, Affari sulla privacy ricercatore di sicurezza. “Gli utenti ad alto profitto possono essere sommersi da spam e tentativi di phishing su larga scala.”

Per questo motivo, Zoltan consiglia agli utenti di creare password diverse per ogni sito che utilizzano per ridurre il rischio di tentativi di appropriazione dell’account.

Il legame tra ingegneria sociale e hack API

Le API non sicure forniscono ai criminali informatici una linea diretta per accedere alle informazioni di identificazione personale (PII), nomi utente e password dell’utente, che vengono acquisiti quando un client effettua una connessione all’API di un servizio di terze parti. Pertanto, gli attacchi API forniscono agli aggressori una finestra per raccogliere dati personali per truffe in massa.

Questo è successo solo un mese fa, quando un attore di minacce si è applicato con successo al dell’FBI servizio di condivisione di intelligence InfraGuard e ha utilizzato una vulnerabilità API per raccogliere i dati di 80.000 dirigenti nel settore privato e metterli in vendita sul dark web.

Le informazioni raccolte durante l’incidente includevano dati come nomi utente, indirizzi e-mail, numeri di previdenza sociale e date di nascita, tutte informazioni estremamente preziose per lo sviluppo di truffe di ingegneria sociale e attacchi di spear phishing.

Sfortunatamente, sembra che questa tendenza allo sfruttamento delle API non farà che peggiorare, con Giardiniere prevedendo che quest’anno l’abuso delle API diventerà il vettore di attacco più frequente.

Oltre le API che “funzionano”

Anche le organizzazioni sono sempre più preoccupate Sicurezza dell’APIcon il 94% dei decisori tecnologici che dichiara di essere solo moderatamente fiducioso nella capacità della propria organizzazione di ridurre materialmente i problemi di sicurezza dei dati API.

D’ora in poi, le aziende che sfruttano le API devono essere molto più proattive nell’integrare la sicurezza nei propri prodotti, mentre gli utenti devono prestare particolare attenzione alle e-mail potenzialmente dannose.

“Questo è un esempio comune di come un’API non protetta che gli sviluppatori progettano per ‘solo funzionare’ possa rimanere non protetta, perché quando si tratta di sicurezza, ciò che è fuori dalla vista è spesso fuori dalla mente”, ha affermato Jamie Boote, consulente associato per la sicurezza del software presso Sinossi Gruppo per l’integrità del software. “D’ora in poi, probabilmente è meglio eliminare solo le e-mail che sembrano provenire da Twitter per evitare truffe di phishing.”

Protezione di API e PII

Una delle sfide principali nell’affrontare le violazioni delle API è il fatto che le aziende moderne devono scoprire e proteggere migliaia di API.

“Proteggere le organizzazioni dagli attacchi alle API richiede una supervisione coerente e diligente della gestione dei fornitori e in particolare garantire che ogni API sia adatta all’uso”, ha affermato Chris Bowen, CISO di Eliminare i dati. “È molto da gestire per le organizzazioni, ma il rischio è troppo grande per non farlo”.

C’è anche un margine di errore ridotto, poiché una singola vulnerabilità può mettere i dati degli utenti direttamente a rischio di esfiltrazione.

“Nell’assistenza sanitaria, ad esempio, dove sono in gioco i dati dei pazienti, ogni API dovrebbe affrontare diversi componenti come la gestione dell’identità, la gestione degli accessi, l’autenticazione, l’autorizzazione, il trasporto dei dati e la sicurezza dello scambio e la connettività affidabile”, ha affermato Bowen.

È anche importante che i team di sicurezza non commettano l’errore di affidarsi esclusivamente a semplici opzioni di autenticazione come nomi utente e password per proteggere le proprie API.

“Nell’ambiente odierno, i nomi utente e le password di base non sono più sufficienti”, ha affermato Will Au, direttore senior per DevOps, operazioni e affidabilità del sito presso po’ di nervosismo. “Ora è fondamentale utilizzare standard come l’autenticazione a due fattori (2FA) e/o l’autenticazione sicura con OAuth.”

Altri passaggi come l’implementazione di un Web Application Firewall (WAF) e il monitoraggio del traffico API in tempo reale possono aiutare a rilevare attività dannose e ridurre la possibilità di compromissione.