Hoe hackers datalekken vinden in jouw API’s

In dit blog wordt meer verteld over het vinden van datalekken in jouw API

Als het gaat om de beveiliging van API’s (Application Programming Interfaces), is het van cruciaal belang om te begrijpen hoe hackers kwetsbaarheden kunnen vinden en exploiteren. API’s vormen namelijk een belangrijk onderdeel van moderne webapplicaties en zijn daarom een aantrekkelijk doelwit voor kwaadwillende hackers.

Een veelvoorkomende methode die hackers gebruiken om kwetsbaarheden te vinden in API’s is het uitvoeren van geautomatiseerde scans. Deze scans kunnen worden uitgevoerd met behulp van speciale tools die het internet afzoeken naar openbare API’s en vervolgens automatisch proberen om zwakke plekken te vinden. Dit kunnen bijvoorbeeld onbeveiligde endpoints zijn die gevoelige informatie blootstellen aan de buitenwereld.

Een goed voorbeeld hiervan is een Insecure Direct Object References (IDOR)

Stel je een scenario voor dat je een account aanmaakt op een datingwebsite, hier heb je verschillende informatie achtergelaten bij het registreren. Denk aan:

  • Voornaam / Achternaam
  • Leeftijd
  • Telefoonnummer
  • Woonplaats
  • E-mailadres
  • Interesses

Zodra je naar je profiel gaat zie je de volgende url in de zoekbalk verschijnen:

Voorbeeld
https://api.voorbeelddatingsite.nl/users?accountnum=1542362
"accountnum": {
    "userid": "1542362",
    "name": "Bob de Boer",
    "tel": "0612345678",
    "age": "56",
    "email": "bob@voorbeeldmail.nl",
    "interests": "woman"
  }

Hackers zouden nu kunnen proberen of ze accounts tussen de 0 - 1542362 kunnen raden.

Als er geen restrictie zit op het betreffende endpoint kunnen de (persoonlijke) gegevens van andere personen gelekt in handen komen van kwaadwillende gebruikers.

Voorbeeld
GET https://api.voorbeelddatingsite.nl/users?accountnum=1542300
HTTP/2 200 OK

"accountnum": {
   "userid": "1542300",
    "name": "Alice de Jong",
    "tel": "0687654321",
    "age": "43",
    "email": "alice@voorbeeldmail.nl",
    "interests": "men"
  }

Vaak wordt er in de webapplicatie middels een token restricties gezet op een bepaalde user, zodat alleen deze user zijn eigen profiel kan aanpassen of lezen. Dit wordt helaas vaak vergeten in de mobiele applicatie.

Cyber Security verhogen?

Het gebruik van API’s kan dus een kwetsbaarheid in jullie digitale omgeving opleveren. Als organisatie wil je dit uiteraard voorkomen. Bij Tozetta hebben wij veel ervaring in het (ethisch) hacken van API’s en denken graag vrijblijvend mee met jullie security vraagstuk.

Door contact met ons op te nemen kunnen wij meedenken en kijken of de API’s goed en veilig worden ingezet. Op basis van een eerste blik kunnen wij altijd verder in gesprek of verdieping in de vorm van een pentest interessant is.

Kosteloos 1 uur pentesten?

Bij Tozetta kun je vrijblijvend een Pentest Quickscan aanvragen. Tijdens de Quickscan gaat een ethisch hacker kosteloos één uur een pentest uitvoeren. In dit uur maakt de ethisch hacker het aanvalsoppervlak inzichtelijk. Op basis hiervan kan een  urenindicatie voor jullie vraagstuk worden bepaald en krijgen jullie inzicht in de mogelijke pentest kosten. Interesse in een pentest uitvoeren? Vul vrijblijvend onderstaand formulier in!

Vraag een Quickscan aan

Pentest rapport Tozetta Cyber Security