Seguridad en las APIs – El caso snapchat

En esta economía globalizada que nos ocupa, y a veces nos preocupa, uno de los elementos en los que más se trabaja es en la construcción de una marca, la publicidad, el marketing, y como no la construcción de un producto. Un gran esfuerzo que muchas veces es tirado por tierra por un error que cause un gran impacto mediático.

Habitualmente cuando hablamos de productos que involucran un API, este impacto mediático suele venir por un problema de seguridad en esta API. Datos robados, información de usuarios desvelada, seguridad comprometida, caída del servicio, son algunos ejemplos de algo sobre lo que estamos acostumbrándonos a escuchar.

En el último año snapchat, el whatsapp americano, nos está proporcionando una fuente inagotable de noticias, y habitualmente desagradables.

Primero fueron advertidos por parte de la comunidad de que el diseño de su API podría causar fugas de información, dicho y hecho al pasar de los meses los números de teléfono de sus usuarios fueron extraídos usando su API, y un porqué no decirlo una infinita paciencia para descargar tanta información.

¿Es esto tan difícil de proteger? Situar una capa de seguridad por delante de la capa de negocio, que preventa la salida de información confidencial, grandes cantidades de información no es una tarea complicada con un API Gateway. 4,6 millones de usuarios a mi me parece un numero suficientemente elevado como para tomarlo en cuenta.

Aparentemente filtrar los números de teléfono de todos los usuarios de un servicio no parecía algo suficientemente jugoso, con lo que nos hemos desayunado con otro fallo de seguridad, esta vez algo más picante.

16 Gb de fotos intimas de miles de personas anónimas (200.000) puestas a disposición de todo aquel que tenga un poco de curiosidad.

Lo curioso es que desde snapchat sólo echan balones fuera, cuestión que si no fuera por su trayectoria, sería más creible.

En este caso, el problema parece la gestión de los accesos al API, que posiblemente no se estaba realizando de una forma suficientemente segura. ¿Seguiremos relacionando esta marca con fallos de seguridad, esperemos que no?

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s