APIs de pagamento estão entre os componentes mais expostos a ataques em instituições financeiras, alerta o diretor executivo sênior de riscos, investigações e tecnologia da FTI Consulting, Antonio Gesteira, em entrevista por email com Mobile Time.
Antonio Gesteira, diretor da FTI Consulting (crédito: divulgação)
As APIs de pagamento são as interfaces de comunicação entre sistemas para o processamento de transações. Se um hacker descobre um vulnerabilidade nelas, pode realizar roubar dados ou realizar fraudes de grande impacto financeiro.
Gesteira lista os cinco tipos de ataques mais comuns a APIs, junto com suas recomendações de proteção contra cada um deles:
1. Injeção de Código (SQL Injection e NoSQL Injection)
Esse é um dos ataques mais clássicos, em que o criminoso acessa dados de cartões, altera valores de pagamento ou exclui registros. Uma das estratégias para evitá-lo é validar e sanitizar todos os dados antes de processá-los.
2. Broken Object Level Authorization (BOLA)
Nessa ação criminosa, o atacante consegue ver os dados de outra pessoa, havendo risco de vazamento massivo de histórico financeiro. Para aumentar o nível de proteção, é necessário implementar verificações rigorosas de autorização em nível de objeto.
3. Ataques de Replay (Replay Attacks)
O criminoso intercepta uma comunicação válida de pagamento e a envia várias vezes para processar a cobrança repetidamente. Mecanismos de segurança usados para proteger APIs de pagamento são fundamentais para rejeitar novas requisições com o mesmo número.
4. Insecure Direct Object References (IDOR) e Exposição de Dados
Com um script simples, o atacante consegue mudar números de identificação e interceptar chaves de API, tokens ou dados parciais de cartões de outra pessoa. A adoção do princípio de privilégios mínimos garante que apenas campos estritamente necessários para cada operação sejam disponibilizados.
5. Falta de Rate Limiting (Ataques de Força Bruta)
Sem limites de requisições, atacantes podem usar bots para testar milhares de números de cartões ou CVVs por segundo até encontrar um válido. A utilização de mecanismos de controle de tráfego protegem contra esse ataque, limitando a quantidade de requisições de um usuário e bloqueando IPs ou tokens, em um curto intervalo, que excedam tentativas.
“Medidas de prevenção precisam evoluir constantemente de acordo com a complexidade das ameaças, direcionando controles e recursos proporcionalmente ao nível de risco de cada situação. Instituições que adotam essa abordagem reduzem consideravelmente as chances de sofrer impactos operacionais, financeiros, regulatórios e reputacionais”, avalia Gesteira.
