ล่าสุดเมื่อสัปดาห์ที่ผ่านมา T-Mobile บริษัทผู้ให้บริการเครือข่ายในสหรัฐได้ค้นพบผู้ไม่ประสงค์ดีได้ทำการขโมยข้อมูลส่วนบุคคลของบัญชีผู้ใช้ที่เป็นทั้ง Prepaid และ Postpaid ราว 37 ล้านบัญชีไปได้ผ่าน API ที่มีการเปิดเผยไว้อยู่ ซึ่งคาดว่าถูกโจมตีในช่วง 25 พ.ย.65 ถึง 5 ม.ค.66 ที่ผ่านมา
แม้ว่าเรื่องความมั่นคงปลอดภัยระดับองค์กร (Enterprise Security) จะไม่ใช่เรื่องที่ง่ายนัก แต่ก็เป็นเรื่องที่จำเป็นจะต้องทำให้ได้ดีที่สุด ซึ่งการดูแลระบบต่าง ๆ ที่ไม่เพียงพอนั้นมีโอกาสที่จะทำให้ช่องโหว่ยังคงพบเจอได้จากโลกภายนอกจนทำให้เกิดการโจมตีและส่งผลกระทบกับผู้ใช้ในวงกว้างได้ ซึ่งหนึ่งในส่วนที่สำคัญนั้นคือ API Security โดยตั้งแต่ปี 2021 ที่ผ่านมา Gartner ได้เคยทำนายไว้แล้วว่าปี 2023 นี้ จะพบเห็นเหตุการณ์โจมตีผ่าน API มากขึ้นเรื่อย ๆ
สำหรับเหตุการณ์ครั้งนี้ T-Mobile ได้ออกมาเคลมว่าแฮกเกอร์นั้นไม่สามารถเข้าถึงข้อมูลของบัตรที่ใช้ชำระเงินของลูกค้า พาสเวิร์ด ใบขับขี่ บัตรประชาชน หรือว่าเลขประกันสังคมแต่อย่างใด หากแต่ข้อมูลที่ถูกขโมยนั้นอาจเพียงพอสำหรับการใช้โจมตีแบบ Social Engineering ในอนาคตต่อไปได้
ทั้งนี้ ทางบริษัทไม่ได้แชร์รายละเอียดออกมามากนักว่าแฮกเกอร์นั้นได้ดำเนินการโจมตี API อะไรอย่างไร แต่เหตุการณ์นี้ได้ชี้ให้เห็นว่าเรื่องของ API Security นั้นควรจะเป็นหนึ่งใน Agenda ของบรรดา CISOs และองค์กรต่าง ๆ ที่มี API ให้ใช้บริการที่จะต้องพยายามปกป้องให้ดีที่สุดเท่าที่จะทำได้ โดยเฉพาะ API ที่มีข้อมูลของลูกค้า ซึ่งถ้าหากถูกโจมตีแล้วก็อาจจะทำให้ข้อมูลเหล่านั้นตกไปอยู่ในมือของผู้ไม่ประสงค์ดี และอาจนำไปสู่การโจมตีในรูปแบบอื่น ๆ ต่อไปได้
ที่มา: https://venturebeat.com/security/t-mobile-data-breach-shows-api-security-cant-be-ignored/