יועץ אבטחת מידע   |   ספטמבר 29, 2024

הסכנה שבחשיפת מפתחות API: מקרה לקוח שיכול לשנות את הכללים

כיצד חשיפת מפתחות API בקוד האפליקציה עלולה להוביל לחדירות אבטחה מסוכנות ולחשוף מידע רגיש.
מפתח API חשוף בקוד האפליקציה הוביל לגישה למידע רגיש וליצירת משתמשים בעלי הרשאות מנהל. במאמר המלא נסביר כיצד להגן על המערכת שלכם מפרצות דומות.

 

הסכנה שבחשיפת מפתחות API: מקרה לקוח שיכול לשנות את הכללים

כיצד חשיפת מפתחות API בקוד האפליקציה עלולה להוביל לפרצות אבטחה חמורות

בבדיקות אבטחת מידע, לא פעם מתגלות פרצות שמקורן אינו בהכרח באפליקציה עצמה, אלא בשימוש במשאבים חיצוניים בצורה לא מאובטחת. במאמר זה נדון במקרה שגילינו במהלך מבדק לאפליקציית Android של אחד מלקוחותינו, ובו נמצא מפתח API לשירות חיצוני שהיה טמון בתוך קוד האפליקציה. חשיפה זו אפשרה גישה לנתונים רגישים בשירות החיצוני ויצירת משתמשים חדשים עם הרשאות גבוהות.

מפתח להצלחת התקיפה – מפתח API חשוף

כיצד מפתחות API גלויים בקוד עלולים לחשוף את כל המערכת

אפליקציות רבות משתמשות בשירותים חיצוניים לצורך פונקציות מגוונות, כגון שילוב מערכות תשלומים, שמירת לוגים או התכתבויות. לעיתים מפתחי האפליקציות נוטים לשלב את מפתחות ה־API הללו ישירות בקוד האפליקציה, פעולה מסוכנת כאשר האפליקציה מופצת לציבור הרחב.

יצירת משתמשים בעלי הרשאות גבוהות בשירות החיצוני

כיצד התוקף ניצל את המפתח ליצירת משתמשים עם הרשאות מנהל

במסגרת הבדיקה ניסינו ליצור משתמש חדש באמצעות מפתח ה־API שמצאנו בקוד האפליקציה. להפתעתנו, גילינו שאפשר להעניק למשתמש הרשאות ניהול מלאות. כתוצאה מכך, קיבלנו גישה לכל התכתובות העסקיות של הלקוח שלנו, כולל קבצים מצורפים ומידע רגיש נוסף, וכן מידע על פרויקטים ולקוחות נוספים של החברה המפתחת.

השלכות האבטחה החמורות

כיצד חשיפה זו מסכנת את כלל מערכות החברה

חשיפת מפתח API בקוד האפליקציה הובילה לחדירה לשירות חיצוני רגיש. התוקף יכול היה לקבל גישה למידע עסקי קריטי, ליצור משתמשים חדשים בעלי הרשאות גבוהות, ואף לגשת למידע רגיש של חברות נוספות. פרצה זו אינה משפיעה על הלקוח שלנו בלבד, אלא גם על כל הלקוחות הנוספים של בית התוכנה המפתחת.

תובנות ממומחי סייבר של IPV Security

צעדים להגנה על המערכת שלכם מפני פרצות דומות

  1. אחסון מאובטח של מפתחות API – לעולם אין לשלב מפתחות API בקוד האפליקציה בצורה גלויה. מומלץ להשתמש בשיטות הצפנה או במערכות ניהול סודות (Secrets Management).
  2. הגבלת גישה לפי הצורך – יש להבטיח שמפתחות API יקנו הרשאות מוגבלות בלבד, ללא גישה לפעולות ניהוליות.
  3. בקרות אבטחה לשירותים חיצוניים – כל שירות חיצוני צריך לעבור בדיקות אבטחה קפדניות ויש לנטר את הגישה אליו באופן שוטף.
  4. בדיקות קוד תכופות – מומלץ לבצע סריקות אבטחה תקופתיות לקוד האפליקציה כדי לזהות חשיפות פוטנציאליות של מפתחות.

סיכום

כיצד הגנה על מפתחות API תוכל למנוע חשיפות דומות
שילוב מפתחות API בקוד גלוי היא סכנה של ממש לאבטחת המערכת. המקרה שתיארנו מדגיש את החשיבות של ניהול מאובטח של מפתחות וגישה מוגבלת לשירותים חיצוניים כדי למנוע פרצות אבטחה חמורות בעתיד.

 

להתייעצות עם מומחה או להזמנת מבדק חדירה אפליקטיבי, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה