LEGO Group: Salt Security identifica falhas de segurança da API na plataforma de serviços online

Pesquisadores do Salt Labs descobriram vulnerabilidades que poderiam ter permitido o controle de contas ou acesso para comprometer servidores internos

Salt Security identifica falhas de segurança da API na plataforma de serviços online do LEGO Group e confirma que as vulnerabilidades foram corrigidas

Salvador, 22/12/2022 – A Salt Security, empresa líder em segurança de API, divulgou um novo relatório de ameaças do Salt Labs destacando duas vulnerabilidades de segurança de API descobertas na BrickLink, plataforma de revenda digital de propriedade do The LEGO Group. Com mais de um milhão de membros, a Bricklink é o maior mercado on-line do mundo para comprar e vender LEGO de segunda mão.

As falhas de segurança da API poderiam ter permitido ataques de aquisição de conta (ATO) em larga escala nas contas dos clientes e comprometido o servidor interno, permitindo aos agentes mal-intencionados manipular os usuários da plataforma para obter controle total sobre suas contas; vazar informações pessoais identificáveis (PII) e outros dados confidenciais de usuários armazenados internamente pela plataforma. Eles também poderiam ter obtido acesso aos dados internos de produção, o que poderia ter levado a um comprometimento total dos servidores internos da empresa.

O Salt Labs, braço de pesquisa da Salt Security que atua também como um fórum público para educação em segurança de APIs, descobriu essas lacunas de segurança e forneceu a análise de vulnerabilidade. Na sequência, os pesquisadores do Salt Labs seguiram práticas de divulgação coordenadas com a LEGO e a equipe da companhia solucionou todos os problemas rapidamente.

“Hoje, quase todos os setores de negócios aumentaram o uso de APIs para permitir novas funcionalidades e agilizar a conexão entre os consumidores e dados e serviços vitais”, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security. “Como resultado, as APIs se tornaram um dos maiores e mais significativos vetores de ataque para obter acesso aos sistemas da empresa e aos dados do usuário. À medida que as organizações escalam rapidamente, muitas permanecem inconscientes do grande volume de riscos e vulnerabilidades de segurança de API que existem em suas plataformas, deixando as empresas e seus valiosos dados expostos a agentes mal-intencionados.”

De acordo com o Relatório sobre o Estado da Segurança de API do Salt Labs – Terceiro Trimestre 2022, os clientes da Salt experimentaram um aumento de 117% no tráfego de ataques de API, enquanto seu tráfego geral de API cresceu 168%. A Plataforma de Proteção de API da Salt permite que as empresas identifiquem riscos e vulnerabilidades nas APIs antes que elas sejam exploradas por invasores, incluindo aqueles listados no OWASP API Top 10. A plataforma protege as APIs em todo o seu ciclo de vida – fases de criação, implantação e tempo de execução – utilizando big data em escala de nuvem combinado com IA e ML para fazer a linha de base de milhões de usuários e APIs. Ao fornecer insights baseados em contexto em todo o ciclo de vida da API, a Salt permite que os usuários detectem a atividade de reconhecimento de pessoas mal-intencionadas e as bloqueiem antes que possam atingir seu objetivo. As explorações que a equipe do Salt Labs realizou teriam acionado imediatamente a plataforma Salt para deter o ataque.

Últimas notícias

Educação
Abertas as inscrições para o Edital Ciência na Mesa 3

Formulário online está disponível no portal da Fapesb e prazo para submissão de propostas vai até 07 de junho de 2024 Salvador, 26/04/2024 – Pesquisadores ou pesquisadoras, com titulação de doutor ou mestre, interessados em submeter projetos de pesquisas inovadores para aplicação de novas tecnologias sociais de acesso à água ou de tecnologias já existentes, […]
Gov e Org
Instituições de fomento anunciam investimentos bilionários em inovação tecnológica

Salvador, 25/04/2024 – O ano de 2024 começou com promessas para empresas e instituições interessadas em impulsionar a inovação tecnológica. Governos federais e estaduais, juntamente com estatais, anunciaram investimentos bilionários em editais de subvenção econômica, com o objetivo de fomentar projetos inovadores. Neste cenário, o Instituto Nacional de Telecomunicações (Inatel), centro referência em ensino, pesquisa […]
Negócios
Ferrari e HP anunciam parceria de Naming Rights

Salvador, 25/04/2024 – A Ferrari e a HP anunciaram hoje uma parceria de naming rights histórica e plurianual. A colaboração representa o compromisso compartilhado de promover a inovação sustentável e acelerar tecnologias com propósito no time Scuderia Ferrari Formula 1, no time Scuderia Ferrari Esports e na Scuderia Ferrari Driver Academy. O logo HP vai […]
Negócios
Simpress fatura R$1.5 bilhão e se consolida como principal player de outsourcing de TI

Empresa tem o maior parque de dispositivos instalados em todo o país, com 600 mil equipamentos Salvador, 25/04/2024 – O faturamento da Simpress, empresa especializada em outsourcing de equipamentos de TI, registrou no ano passado um crescimento de 23% em relação a 2022, com R$1.550 bilhão. As áreas que mais se destacaram foram as de […]
Artigos
O que as empresas podem fazer para proteger os dados de seus clientes?

Prof. Dr. Marcelo Teixeira de Azevedo, docente e pesquisador na área de Redes e Segurança para os cursos de Ciência da Computação e Sistemas de Informação da Universidade Presbiteriana Mackenzie (Campus Alphaville) Salvador, 25/04/2024 – Ultimamente, tem sido cada vez mais comum o vazamento de dados, existindo diversos eventos do tipo no Brasil e no […]

Menu