Простые шаги к защите API. Рекомендации для разработчиков и ИБ-специалистов

Новость от 16.06.2025

1. Статистика по атакам на API. Актуальность темы

Продолжающаяся цифровая трансформация и взрывной рост использования искусственного интеллекта (ИИ) закрепили лидирующую роль API в бизнес-процессах крупных организаций.

Как следствие, растет и количество инцидентов, связанных с утечками через API. В 2025 году компания Akamai опубликовала результаты опроса, проведенного среди 800+ сотрудников компаний Азиатско-Тихоокеанского региона. Эти результаты показали, что организации регулярно сталкиваются с инцидентами, связанными с безопасностью API, а средний ущерб за последние 12 месяцев варьируется от 300 до 800 тысяч долларов. Рассмотрим пару наиболее значимых утечек из API сервисов, произошедших в 2024 году.

DELL — 49 млн записей

Хакер обнаружил возможность регистрации на партнерском портале DELL, которая не требует дополнительно верификации – достаточно лишь заполнить форму заявки. Далее, использовав вновь созданную учетную запись, злоумышленник с помощью скрипта собирал через API информацию о клиентах по семизначному сервисному тэгу. При этом скрипт работал в течение трех недель без каких-либо блокировок, генерируя до 5000 запросов в минуту.

Twilio – 33 млн записей

В конце июня 2024 г. хакеры украли 33 млн записей, связанных с двухфакторным приложением аутентификации Authy от Twilio. Утечка информации включала телефонные номера, идентификаторы учетных записей и некоторые другие не персональные данные, связанные с пользователями Authy. Позднее Twilio подтвердила, что злоумышленники смогли идентифицировать данные, связанные с учетными записями Authy, включая телефонные номера, из-за отсутствия аутентификации на одном из эндпойднтов в API компании.

Продолжение статьи — по ссылке.