Держать API в поле зрения: оценка банковской отрасли. [Исследовательская суббота]

В этом эпизоде принимают участие гостья Алисса Найт, бывшая хакерша и партнер в Knight Ink, а также Карл Маттсон, CISO из Noname Security, обсуждая результаты исследования о серьезных уязвимостях API в банковских приложениях США, проведенном Алиссой и финансируемом Noname Security. Исследование, «Сожженная земля: взлом банковских API», открывает целый ряд уязвимостей в банковской, криптовалютной и финтех-индустрии. В своей речи на конференции Money 20/20 под названием «Сожженная земля: взлом банковских API» Алисса раскрыла, что ей удалось получить доступ к 55 разным банкам и изменять PIN-коды, а также переводить деньги в и из счетов. Три основных вывода включают: уязвимости безопасности API затрагивают все предприятия, безопасность API должна быть операционализирована по всему предприятию, и безопасность API требует управления позицией, безопасностью в runtime и активным тестированием. Детали можно найти здесь: Белая книга: Взлом банков и криптовалютных бирж через их API Блог-пост: 3 уроки по безопасности API из «Сожженной земли: взлом банковских API» Пресс-релиз: Новое исследование показывает уязвимости в банковских, криптовалютных и финтех-API, позволяющие проводить незаконные транзакции и изменять PIN-коды клиентов. Презентация Алиссы на Money 20/20.