Bulut hizmetleri ve güvenlik şirketi Akamai'nin araştırmasına göre, uygulama programlama arabirimlerinin güvenlik açıkları geçen yıl önemli ölçüde arttı.
Finansal hizmet sektöründe web uygulamalarına yönelik saldırılar dünya çapında üç kattan fazla arttı (%257 büyüme) Kuzey Amerika'da ise durum daha vahim, beş kattan fazla arttı (%449 büyüme).
Veriler, Akamai'nin diğer siber saldırı türlerini de kapsayan 2022 İnternetin Durumu raporundan geliyor. Raporda, bilgisayar korsanlarının kötü amaçlı yazılım bulaşmasındaki artışı gözler önüne seriliyor. Kötü amaçlı yazılım aracılığıyla bağlanan bilgisayar gruplarından bot kullanımının %81 arttığı belirtiliyor. Öte yandan, dağıtılmış hizmet reddi saldırı hedeflerinin sayısı da %22 artmış.
Akamai'nin bildirdiği botnet rakamları, yalnızca API'lere yönelik olanları değil, tüm botnet saldırılarını içeriyor. Aynı şekilde, DDoS rakamları botnetlerden kaynaklananlar saldırılarla sınırlı değil, diğer kaynaklardan gelen saldırıları da içeriyor. DDoS saldırıları genellikle botnet'lerden geliyor, ancak bu saldırıları özel bir saldırı şeklinde yorumlamak doğru değil.
API ve web uygulaması saldırılarındaki şaşırtıcı büyümenin bir kısmı, finansal kurumların siber güvenlik duruşundaki daha geniş eğilimlere bağlanabilir.
Örneğin, yalnızca bu yıl , bilgisayar korsanları bankaların güvenlik duvarlarını ihlal ederek milyonlarca tüketicinin kaydını ifşa etti. Ancak API'lerin de kendilerine özgü güvenlik açıkları olduğu biliniyor.
Bankalar, finansal veri toplamayı desteklemek de dahil olmak üzere bir dizi amaca hizmet etmek için API'leri benimsiyor. Bir çok kişinin ‘açık bankacılık' dediği sistem bu şekilde yorumlanıyor. Bu API'ler, üçüncü tarafların müşteri verilerine erişmesini sağlayabiliyor, ancak yalnızca müşterinin izniyle.
Avrupa Birliği'nde düzenleyiciler, bankaların kullanıcıların hesap verilerine daha fazla erişim sağlamak için API'leri kullanmasını şart koşuyor. ABD'de böyle bir düzenleme şimdilik yok fakat bahse konu düzenlemenin yolda olduğu söyleniyor.
Web uygulamaları insanların kullanması için oluşturulurken, API'ler makinelerin kullanması için oluşturulur. Müşteri verilerini sağlayan bankalar ile bu verileri alan fintech'ler arasında bir bağlantı sağlarlar.
Winterfeld, "Birinin gelip başka bir uygulamadan hesabınıza bakmasına izin vermek için oluşturulmuş bir API'niz olabilir veya birinin gelip başka bir uygulamadan hesabınızı yönetmesine izin veren bir API'niz olabilir," diyor ve devam ediyor, ‘'eskiden geleneksel bir oturum açma yoluyla yapabildiğiniz her şeyi, API'ler artık bilgisayarların otomatik olarak yapmasını sağlıyor''
Ancak bu API'ler, bilgisayar korsanlarının müşteri verilerine veya bankaların kendilerine erişmek için kullanabilecekleri yeni, otomatik bir giriş noktasını da ortaya çıkarıyor.
API'ler oldukları kadar güvenli mi?
Salt Labs araştırmacıları, bir finans şirketinin uygulama programlama arayüzlerinde dört tür güvenlik açığından yararlandı. Bulgular, tüketici verilerinin paylaşılmasında API'lerin güvenliği hakkındaki geleneksel bilgiyle çelişiyor.
Penny Crosman, 'Güvenlik açığı bulunan bir API, bilgisayar korsanlarının finans kurumuna çeşitli şekillerde girmesine neden olabilir. Örneğin, yanlış yapılandırılmış bir API, bir bilgisayar korsanının, kullanıcıların parolalarını veya oturum açma bilgilerini çalmasına gerek kalmadan kullanıcı verilerini almasına izin verebilir.
Bu, yanlış yapılandırma saldırısı olarak bilinir ve web uygulamalarının ve API'lerin güvenliği hakkında halka bilgi sağlayan kar amacı gütmeyen bir kuruluş olan Open Web Application Security Project'e göre web uygulamalarına yönelik ilk 10 saldırı türünden biridir.' diyor.
Bununla birlikte, müşterinin finansal verilerine erişmesini sağlamak için API'leri kullanan bir web uygulaması, bilgisayar korsanlarının bir banka veya satıcı sunucusundaki dosyalara erişmesine izin verir. Akamai raporuna göre bu dosyalar, bilgisayar korsanlarının bankaya sızmak için kullanabilecekleri ek bilgileri toplamalarına olanak tanıyor. Bu tür bir saldırı, yerel dosya dahil etme saldırısı olarak bilinir ve Akamai tarafından web uygulamalarına ve API'lere saldırmak için kullanılan en yaygın vektör korsanları olarak sıralanır.
Bilgisayar korsanlarının saldırdığı API'ler her zaman bankalara ait değildir. Bir müşterinin hesap bilgilerini bankadan bir veri toplayıcıya ve son olarak müşterinin hesap bilgilerine erişmek için kullandığı uygulamaya iletmek için birden fazla API katmanı mevcut olabilir. Bazen, bu aracılar güvenlik açıklarının kaynağıdır. Çoğu zaman, bankanın kendi API'si bir satıcı tarafından sağlanır.
Siber güvenlik tehditleri ve olayları hakkında bilgi paylaşan finansal kurumlardan oluşan bir konsorsiyum olan Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi'nin küresel istihbarat ofisinin başkanı Teresa Walsh, bu dinamiklerin bankaların bir API saldırısı keşfettiklerinde koordinasyon ihtiyacını artırdığını söyledi.
Walsh, API'leri oluşturmak ve sürdürmek için "Birçoğumuzun aynı sağlayıcıları kullandığımızın farkındayız" dedi.
FS-ISAC'ın bağlı kuruluşu Financial Data Exchange (FDX), 2017'den beri finansal veri API'lerini standart hale getirmek için çalışıyor ve Walsh, bu misyonun bir kısmının güvenlik standartları oluşturmak olduğunu söylüyor.
Walsh, FDX için "Bütün amaç, API'nin diğer tarafında bankalar ve şirket arasında bu iletişimi sağlamak ve mümkün olduğu kadar güvenli olduğundan emin olmaya çalışmaktır" diyor.
Bankacılık API'lerine yönelik saldırılar artmaya devam ederken, Walsh, finansal kurumların bu arayüzlerdeki herhangi bir güvenlik açığının bilgisayar korsanlarının daha fazla zarar vermesi için bir giriş kapısı haline gelebileceğinin farkında olmaları gerektiğini söylüyor.
Walsh, "Bu saldırganlar fırsatçı ve güneş altında her şeyi deneyecekler. Ufacık bir boşluk bile olsa peşinden giderler." diyor.
Kaynak: Americanbanker
