*Por Daniela Costa
Alertas não faltam. Há pouco mais de um mês, a Comissão Federal de Comunicações dos Estados Unidos chegou a um acordo de US$ 16 milhões com a operadora de telefonia pré-paga Tracfone Wireless sobre suas práticas de privacidade e segurança cibernética. A operadora, que é propriedade da Verizon, teve três violações de dados que envolveram a exploração de vulnerabilidades de API da operadora de entre janeiro de 2021 e janeiro do ano passado, expondo informações pessoais confidenciais dos clientes.
CONTEÚDO RELACIONADO – APIs: portas de entrada para ataques cibernéticos
Foi o primeiro acordo do gênero a estabelecer condições específicas que direcionam uma empresa a proteger suas APIs. Mas outros exemplos não faltam. No início do ano passado, a gigante T-Mobile divulgou 37 milhões de seus clientes atuais e anteriores tiveram suas informações de identificação pessoal expostas através de um ataque de API. Nunca é demais lembrar que este foi o oitavo incidente de segurança envolvendo a operadora desde 2018, sendo que a empresa recentemente concordou em desembolsar US$ 350 milhões por uma violação ocorrida em 2021 que afetou 76 milhões de pessoas.
Também em julho passado, a AT&T reconheceu que quase todos os registros de chamadas e mensagens de texto de seus clientes de telefonia celular foram expostos em uma violação colossal.
Os dados comprometidos incluem arquivos contendo registros de chamadas e mensagens de texto de quase todos os seus clientes de celular, clientes de operadoras de rede virtual móvel que usam a rede sem fio da AT&T, além de clientes de telefone fixo da AT&T que interagiram com esses números de celular entre 1º de maio. 2022 – 31 de outubro de 2022.
É imperativo reconhecer tanto que as APIs são ferramentas essenciais para as operadoras de celular como que elas apresentam enormes riscos em potencial. Elas são responsáveis pelas conexões com parceiros, liberam recursos de autoatendimento ao cliente e se integram a aplicativos de terceiros. Vamos considerar alguns dos fatores que contribuem para as vulnerabilidades das APIs no universo da telefonia móvel:
• Ecossistemas de rede complexos: As redes móveis são ambientes complexos com vários sistemas e APIs interconectados. Gerenciar e proteger essas APIs de forma eficaz apresenta um sério desafio para as equipes de segurança.
• Infraestrutura legada: Algumas operadoras móveis ainda podem utilizar uma infraestrutura mais antiga não projetada com a segurança da API como foco principal. Esses sistemas legados podem ter vulnerabilidades inerentes que os invasores podem explorar.
• Cenário de integração de terceiros: As integrações com aplicativos de terceiros, embora ofereçam recursos e funcionalidades atraentes, adicionam complexidade ao cenário de segurança. Se esses terceiros tiverem práticas inadequadas de segurança de API, isso criará pontos de entrada em potencial para invasores.
• Cenário de ameaças em evolução: Os cibercriminosos desenvolvem constantemente novos métodos para explorar vulnerabilidades de API. As soluções de segurança tradicionais podem ter dificuldades para acompanhar essas ameaças em constante evolução.
As consequências destes ataques não ficam limitadas apenas à aplicação de pesadas multas pelas empresas reguladoras. Os clientes perdem a confiança na empresa, que vê a sua marca ser afetada negativamente junto ao mercado. Parcerias de anos são desfeitas e não sem razão: com o comprometimento das suas informações pessoais, como nomes, endereços, números de previdência social e de telefone, os clientes podem enfrentar sérios problemas de fraudes.
Daí a importância de as operadoras de telefonia adotarem os mais avançados mecanismos de segurança para as suas APIs, buscando soluções que empreguem IA avançada e aprendizado de máquina para identificar e prevenir os ataques em tempo real. A estratégia de defesa deve envolver também a descoberta e produção de um inventario abrangente das APIs, bem como a detecção de ataques em tempo real, com a prevenção automatizada de ameaças. É fundamental assegurar ainda total conformidade com a legislação vigente, reduzindo assim o risco de multas regulatórias e reiterando o compromisso da empresa com a segurança dos dados.
Boa parte dos casos envolvendo o vazamento de dados das empresas de telefonia só são detectados muito tempo após o ataque ser iniciado, o que reitera a necessidade da adoção de ferramentas que atuem em tempo real. Nunca é demais lembrar que este pesadelo pode estar sendo construído exatamente agora. *Daniela Costa é diretora para a América Latina e Canadá da Salt Security.
Participe das comunidades do IPNews no Instagram, Facebook, LinkedIn, WhatsApp