Daniela Costa, diretora de Vendas para a América Latina da Salt Security
Falhas de segurança em fintech dos EUA, descobertas por pesquisadores do Salt Labs, poderiam sinalizar um caminho para os cibercriminosos promoverem ataques bem-sucedidos e gerar tremendos prejuízos financeiros
A Salt Security, empresa especializada em segurança de Application Programming Interfaces (APIs), anunciou novas vulnerabilidades de API descobertas pelo Salt Labs, equipe interna de pesquisa da companhia. Como parte de seu trabalho de educar as empresas sobre as vulnerabilidades na área, foi identificada uma significativa falha de segurança na plataforma digital de uma fintech sediada nos Estados Unidos que entrega uma ampla gama de servicos bancários digitais para milhares de bancos e milhões de clientes.
O trabalho de pesquisa identificou vulnerabilidades de API capazes de permitir o acesso a contas administrativas na plataforma, com possibilidade de vazamento de dados pessoais de usuários, acesso a seus dados bancários e transações financeiras; e também realizar transferências não autorizadas de fundos para suas próprias contas.
“A investigação do Salt Labs ganha ainda maior relevância pelo fato de esta fintech oferecer um serviço de transformação digital para bancos de todos os portes, permitindo que eles entreguem on-line muitos de seus serviços bancários tradicionais, através de uma plataforma já ativamente integrada aos sistemas de muitos bancos e cooperativas de crédito, com seus serviços sendo usados diariamente por milhões de pessoas”, comenta Daniela Costa, diretora de Vendas para a América Latina da Salt Security.
Plataformas como este sistema da fintech são consideradas alvos prioritários por criminosos em busca de vulnerabilidades de API, por duas razões principais. Em primeiro lugar, o universo das APIs com suas funcionalidades é muito rico e complexo, deixando muito espaço para erros no processo de desenvolvimento. Em segundo: se um criminoso tem sucesso em um ataque a este tipo de plataforma, os lucros potenciais são enormes.
“Este caso reforça a importância de sempre se buscar o equilíbrio entre a demanda por uma rápida entrega de uma solução eficiente e a prioridade absoluta que a segurança sempre deve ter, como a fórmula ideal para se mitigar riscos”, pondera Daniela, acrescentando que o emprego de APIs de terceiros é um dos fundamentos do Open Banking.
Compartilhamento de descobertas
“Todos os problemas detectados nesta investigação foram corrigidos e faz parte da missão mais ampla do Salt Labs compartilhar as descobertas como forma de aumentar a conscientização em torno das vulnerabilidades das APIs. A análise incluiu detalhes do padrão de ataque e quais as técnicas mais adequadas para aumentar a segurança”, detalha a executiva.
Após destacar que o caso desta fintech não é isolado, Daniela Costa chama a atenção para a necessidade de que as equipes de segurança e desenvolvimento trabalhem em colaboração, a fim de evitar fugas de informação sensível e interrupção de serviços.
“Proteções estáticas, aliadas a análises ao longo do tempo para identificar anomalias no tráfego da API, entregam uma segurança mais eficaz”, conclui a diretora, salientando que “o aspecto mais preocupante nesta situação é que todo o trabalho de pesquisa sobre vulnerabilidades e ataques a APIs que o Salt Labs realizou passou completamente despercebido por esta fintech”.