Hoe hackers datalekken vinden in jouw API’s

Hoe hackers datalekken vinden

Tegenwoordig maken wij steeds meer gebruik van verschillende cloud gebaseerde oplossingen. Vaak willen wij als gebruikers dat alle software en systemen ook met elkaar communiceren. Zo moeten de facturen vanuit het boekhoudprogramma worden doorgeschoten naar het CRM systeem. En moet de productvoorraad vanuit de magazijnsoftware ook op de webshop te zien zijn. 

Dit alles is mogelijk door het gebruik van API’s (Application Programming Interfaces).  Enkel nemen deze API’s ook risico’s met zich mee. Bij Tozetta is Hacker Ian van der Wurff o.a. gespecialiseerd in het hacken van API’s. In dit blog probeert hij haarfijn uitleg te geven over de werkwijze van cybercriminelen, maar ook hoe hij zelf cyberrisico’s omtrent API’s in kaart brengt.

Kwetsbaarheden in API's

Als het gaat om de beveiliging van API’s, is het van cruciaal belang om te begrijpen hoe hackers kwetsbaarheden kunnen vinden en exploiteren. API’s vormen namelijk een belangrijk onderdeel van moderne webapplicaties en zijn daarom een aantrekkelijk doelwit voor kwaadwillende hackers.

Een veelvoorkomende methode die hackers gebruiken om kwetsbaarheden te vinden in API’s is het uitvoeren van geautomatiseerde scans. Deze scans kunnen worden uitgevoerd met behulp van speciale tools die het internet afzoeken naar openbare API’s en vervolgens automatisch proberen om zwakke plekken te vinden. Dit kunnen bijvoorbeeld onbeveiligde endpoints zijn die gevoelige informatie blootstellen aan de buitenwereld.

Een goed voorbeeld hiervan is een Insecure Direct Object References (IDOR)

Veilige Web Server vs Onveilige Server

Stel je een scenario voor dat je een account aanmaakt op een datingwebsite, hier heb je verschillende informatie achtergelaten bij het registreren. Denk aan:

      • Voornaam / Achternaam

      • Leeftijd

      • Telefoonnummer

      • Woonplaats

      • E-mailadres

      • Interesses

    Zodra je naar je profiel gaat zie je de volgende url in de zoekbalk verschijnen:

    Voorbeeld

    https://api.voorbeelddatingsite.nl/users?accountnum=1542362

    "accountnum": {
        "userid": "1542362",
        "name": "Bob de Boer",
        "tel": "0612345678",
        "age": "56",
        "email": "bob@voorbeeldmail.nl",
        "interests": "woman"
      }

    Hackers zouden nu kunnen proberen of ze accounts tussen de 0 - 1542362 kunnen raden.

    Als er geen restrictie zit op het betreffende endpoint kunnen de (persoonlijke) gegevens van andere personen gelekt in handen komen van kwaadwillende gebruikers.

    Voorbeeld

    GET https://api.voorbeelddatingsite.nl/users?accountnum=1542300

    HTTP/2 200 OK
    
    "accountnum": {
       "userid": "1542300",
        "name": "Alice de Jong",
        "tel": "0687654321",
        "age": "43",
        "email": "alice@voorbeeldmail.nl",
        "interests": "men"
      }

    Vaak wordt er in de webapplicatie middels een token restricties gezet op een bepaalde user, zodat alleen deze user zijn eigen profiel kan aanpassen of lezen. Dit wordt helaas vaak vergeten in de mobiele applicatie.

    Op de hoogte blijven van de laatste kwetsbaarheden?

    Dagelijks worden er 50+ kwetsbaarheden toegevoegd aan de Common Vulnerabilities and Exposures database (CVE’s).  Het is bijna onmogelijk om zelfstandig up-to-date te blijven over al deze kwetsbaarheden. Toch proberen wij bij Tozetta structureel kwetsbaarheden in jullie software en systemen inzichtelijk te maken. Wij bieden kosteloos onze wekelijkste Vulnerability Update waar wij wekelijks dit soort artikelen delen. 

    Maar wil je meer weten over het structureel inzichtelijk maken van kwetsbaarheden in software en systemen, lees dan meer over onze Hacking as a Service oplossing. Naast het regelmatig pentest bieden wij ook een security monitoring tool die dagelijks jullie webapplicaties en/of interne netwerk scant op deze talloze CVE’s. 

    Of meer lezen over Hacking as a Service >>

    Kosteloos 1 uur pentesten?

    Bij Tozetta kun je vrijblijvend een Pentest Quickscan aanvragen. Tijdens de Quickscan gaat een ethisch hacker kosteloos één uur een pentest uitvoeren. In dit uur maakt de ethisch hacker het aanvalsoppervlak inzichtelijk. Op basis hiervan kan een  urenindicatie voor jullie vraagstuk worden bepaald en krijgen jullie inzicht in de mogelijke pentest kosten. Interesse in een pentest uitvoeren? Vul vrijblijvend onderstaand formulier in!

    Vraag een Quickscan aan

    Visuele weergaven van een pentest rapport bij Tozetta Cyber Security