ज़ोंबी एपीआई का बढ़ता मुद्दा और आपकी बढ़ी हुई आक्रमण सतह

ग्राहकों को API प्रदान करने से आपका राजस्व बढ़ता है, लेकिन यह आपके हमले की सतह का भी विस्तार करता है। व्यवसाय एक API प्रदान कर सकते हैं जिसे विकास को आसान बनाने के लिए तीसरे पक्ष के अनुप्रयोगों में एम्बेड किया जा सकता है। उदाहरण के लिए, किसी एप्लिकेशन में सोशल मीडिया एम्बेड करने से ग्राहक आपकी विकास टीम पर बहुत अधिक ओवरहेड डाले बिना किसी उत्पाद पर चर्चा कर सकते हैं। सोशल मीडिया कंपनी को ट्रैफ़िक और दृश्यता प्राप्त होती है, और ग्राहक को अपने एप्लिकेशन में सुविधाएँ जोड़ते समय विकास में आसानी होती है।

हालाँकि API मार्केटिंग और रेवेन्यू के लिए अच्छा है, लेकिन API और एंडपॉइंट जोड़ने से आपके हमले की संभावना बढ़ जाती है। API होना एक अतिरिक्त जोखिम है जिसे प्रबंधित किया जा सकता है, लेकिन सभी एंडपॉइंट की सख्ती से निगरानी और सुरक्षा की जानी चाहिए। अधिकांश प्रशासक इस बात से सहमत हैं कि API की निगरानी की जानी चाहिए, लेकिन कई अपडेट और परिनियोजन के साथ एक तेज़ गति वाले व्यावसायिक वातावरण में API का ट्रैक खो सकता है और अनजाने में "ज़ॉम्बी API" नामक साइबर सुरक्षा जोखिम को जोड़ सकता है।

ज़ोंबी एपीआई क्या है?

ज़ोंबी एपीआई (बुनियादी शब्दों में) एक भूला हुआ और अनदेखा किया गया बुनियादी ढांचा है जो उपयोग के लिए उपलब्ध रहता है, लेकिन संगठन इसके अस्तित्व से अनजान हैं। ज़ोंबी एपीआई छोटे या बड़े वातावरण में बनाए जा सकते हैं, लेकिन वे अक्सर ऐसे वातावरण में बनाए जाते हैं जहाँ आईटी संसाधन सख्त प्रावधान और दस्तावेज़ीकरण प्रक्रियाओं के बिना बनाए जाते हैं। परिवर्तन नियंत्रण ज़ोंबी एपीआई स्थितियों से बचने में मदद करता है, लेकिन किसी विशिष्ट गंभीर त्रुटि को ठीक करने के लिए किए गए आपातकालीन परिनियोजन या कॉन्फ़िगरेशन भी हो सकते हैं।

स्वचालित वातावरण में, क्लाउड संसाधनों को अक्सर एप्लिकेशन कोड के साथ तैनात किया जाता है। इसका लाभ यह है कि डेवलपर्स और संचालन से जुड़े लोगों को अब हार्डवेयर को तैनात करने और इसे मैन्युअल रूप से कॉन्फ़िगर करने के बारे में याद रखने की ज़रूरत नहीं है। सॉफ़्टवेयर परिनियोजन में स्वचालन गलत कॉन्फ़िगरेशन के आधार पर होने वाली घटनाओं को कम करता है या किसी भी समस्या से बचाता है जहाँ डेवलपर्स अपने अनुप्रयोगों का समर्थन करने के लिए संसाधनों के प्रावधान के अनुरोधों को शामिल करना भूल जाते हैं।

कुछ वातावरणों में, डेवलपर्स को अपने स्वयं के परीक्षण सर्वर तक पहुंच दी जाती है। ये सर्वर सार्वजनिक इंटरनेट पर सुलभ हो सकते हैं ताकि डेवलपर्स नए कोड का परीक्षण कर सकें। एक API परीक्षण सर्वर सार्वजनिक इंटरनेट के लिए उपलब्ध हो सकता है, और डेवलपर्स सोच सकते हैं कि इसे प्रकाशित किए बिना इसका पता नहीं लगाया जा सकेगा।

ज़ोंबी एपीआई को अपने स्वयं के एज केस के साथ कई तरीकों से बनाया जा सकता है, यहां तक कि सबसे सख्त परिवर्तन नियंत्रण प्रक्रियाओं के साथ भी। चाहे वे गलतियों या गलत मार्गदर्शन से उत्पन्न हों, ज़ोंबी एपीआई एक प्रकार का है छाया आईटी जो डेटा सुरक्षा के लिए विशेष रूप से खतरनाक हो सकता है। निगरानी के बिना, हमलावर बिना किसी सीमा या दर सीमा के महीनों तक डेटा प्राप्त कर सकता है। कमजोरियों की जांच या उनका शोषण करने की कोई भी प्रक्रिया लॉग नहीं की जाएगी, इसलिए सामान्य साइबर सुरक्षा विश्लेषण असामान्य ट्रैफ़िक के बारे में प्रशासकों को सूचित नहीं करेगा।

हैकर्स ज़ोंबी एपीआई कैसे ढूंढते हैं?

जिस तरह से स्थिति के आधार पर ज़ॉम्बी एपीआई बनाया जा सकता है, उसी तरह ज़ॉम्बी एपीआई खोजने के लिए भी यही कहा जा सकता है। हैकर रिवर्स इंजीनियरिंग कोड, ओपन-सोर्स रिपॉजिटरी की समीक्षा करके या "फ़ज़िंग" नामक अवधारणा के माध्यम से एंडपॉइंट पा सकते हैं। फ़ज़िंग एक प्रकार की खोज है जहाँ सामान्य API एंडपॉइंट नामों के विरुद्ध अनुरोध करने के लिए स्क्रिप्ट लिखी जाती हैं। उदाहरण के लिए, प्रमाणीकरण के लिए उपयोग किए जाने वाले API एंडपॉइंट के लिए "/login" या "/authenticate" या कुछ इसी तरह का एंडपॉइंट होना आम बात है। एंडपॉइंट खोजने के लिए आपके इंफ्रास्ट्रक्चर के विरुद्ध अलग-अलग सामान्य एंडपॉइंट नामों के लिए अनुरोध किए जाते हैं।

ओपन-सोर्स रिपॉजिटरी से डिस्कवरी आम बात है। ओपन-सोर्स रिपॉजिटरी भी रहस्यों के प्रकटीकरण के प्रति संवेदनशील हैं, जिसका अर्थ है कि डेवलपर्स निजी कुंजियों, प्रमाणीकरण क्रेडेंशियल्स और अन्य निजी डेटा के संदर्भों को हटाना भूल सकते हैं। API एंडपॉइंट्स के संदर्भ भी खोज के लिए उपलब्ध हैं और किसी भी भेद्यता के लिए उनकी जांच की जाएगी। यदि आपका संगठन कोड में संदर्भित एंडपॉइंट्स से अनभिज्ञ है, तो उन्हें बिना किसी शमन या दर सीमित किए जांचा जा सकता है।

ज़ोंबी API हमेशा बग शोषण के प्रति संवेदनशील नहीं होता है। उदाहरण के लिए, SQL इंजेक्शन भेद्यता का शोषण करने से संवेदनशील जानकारी का डेटा प्रकटीकरण हो सकता है, लेकिन कुछ एंडपॉइंट खतरों के प्रति लचीलेपन के साथ ठीक से कोडित होते हैं। ज़ोंबी API स्थिति में, API सामान्य रूप से कार्य कर सकता है, लेकिन इसका उपयोग बिना किसी सीमा के डेटा एकत्र करने के लिए किया जा सकता है। यह संभव है कि एंडपॉइंट में कोई व्यावसायिक तर्क त्रुटि हो जिसका शोषण किया जा सकता है, लेकिन निगरानी के बिना, कोई भी संदिग्ध गतिविधि का पता नहीं चल पाएगा।

ज़ोंबी एपीआई से वास्तविक दुनिया में डेटा उल्लंघन

सामान्य रूप से काम करने वाले लेकिन डेटा को चुपचाप गिनने के लिए उपयोग किए जाने वाले एपीआई का एक अच्छा उदाहरण है जस्टडायल घटना जस्टडायल भारत की सबसे बड़ी स्थानीय निर्देशिकाओं में से एक है जिसके 100 मिलियन से ज़्यादा उपयोगकर्ता हैं। 2019 में, एक सुरक्षा शोधकर्ता ने पाया कि जस्टडायल के पास बिना किसी निगरानी के सार्वजनिक इंटरनेट के लिए एक ज़ॉम्बी एपीआई खुला था। एपीआई ने एंडपॉइंट पर अनुरोध करने वाले किसी भी व्यक्ति को नाम, ईमेल, मोबाइल नंबर, पता और लिंग जैसी जानकारी लौटा दी। कोई प्रमाणीकरण आवश्यक नहीं था, और जस्टडायल घटना को पकड़ने के लिए निगरानी नहीं कर रहा था।

एक सुरक्षा शोधकर्ता द्वारा ज़ोंबी एपीआई का पता लगाने के बाद, जस्टडायल ने इस घटना को ठीक करने का दावा किया, लेकिन 2020 में फिर से वही समस्या पाई गई। यह स्पष्ट नहीं है कि सुरक्षा शोधकर्ता के अलावा किसी तीसरे पक्ष ने ऐसा किया है या नहीं, लेकिन क्योंकि एंडपॉइंट सार्वजनिक इंटरनेट के लिए खुला था और उस पर कोई निगरानी नहीं थी, इसलिए जस्टडायल डेटा एक्सफ़िलट्रेशन की सीमा का आकलन नहीं कर सकता है।

एक और उदाहरण सैन फ्रांसिस्को की एक बड़ी टेक कंपनी फेसबुक का है, जो बाजार में कुछ बेहतरीन डेवलपर्स के लिए जानी जाती है। फेसबुक पर ज़ोंबी एपीआई के कई उदाहरण हैं। 2016 में, डेवलपर्स ने अपने पासवर्ड रीसेट कार्यक्षमता का परीक्षण करने के लिए एक सबडोमेन (mbasic.beta.facebook.com) तैनात किया। एपीआई के उत्पादन संस्करण में इस पर दर सीमाएँ थीं, इसलिए हमलावर उपयोगकर्ताओं को उनके पासवर्ड रीसेट करने के लिए भेजे गए छह अंकों के पासकोड को जबरदस्ती नहीं कर सकते थे। बीटा संस्करण में यह सीमा नहीं थी, इसलिए छह अंकों के पासकोड को सेकंड के भीतर जबरदस्ती किया जा सकता था, जो केवल इंटरनेट कनेक्शन, बैंडविड्थ और एपीआई एंडपॉइंट की बैकएंड प्रोसेसिंग स्पीड द्वारा सीमित था।

2018 में फेसबुक को एक और झटका लगा ज़ोंबी एपीआई हमला . यह कमजोरी फेसबुक के "व्यू ऐज" फीचर में पाई गई थी। इस फीचर की मदद से उपयोगकर्ता अपने प्रोफाइल को वैसे ही देख सकते थे जैसे दूसरे लोग देखते हैं। इस फीचर के लिए API एंडपॉइंट को लॉक या मॉनिटर नहीं किया गया था, इसलिए हमलावर दूसरे यूजर प्रोफाइल देख सकते थे और उनके एक्सेस टोकन चुरा सकते थे। एक्सेस टोकन की मदद से हमलावर यूजर की प्रोफाइल और उनका डेटा चुरा सकता है। फेसबुक ने अनुमान लगाया कि 40 मिलियन यूजर प्रभावित हुए और 90 मिलियन यूजर को यह सुनिश्चित करने के लिए फिर से प्रमाणीकरण करना पड़ा कि उनका एक्सेस टोकन चोरी न हो जाए।

2022 में ट्रैविस सीआई के एंडपॉइंट के साथ एक छोटी कंपनी--ज़ॉम्बी एपीआई से महत्वपूर्ण डेटा उल्लंघन हुआ। ट्रैविस सीआई एक ऑटोमेशन विक्रेता है जिसका उपयोग बुनियादी ढांचे और कोड को तैनात करने के लिए किया जाता है। ट्रैविस सीआई के एपीआई एंडपॉइंट में से एक को प्रमाणीकरण की आवश्यकता नहीं थी और ग्राहक लॉग इवेंट प्राप्त करने के अनुरोधों की अनुमति थी। मामले को बदतर बनाने के लिए, लॉग सादे पाठ में संग्रहीत किए गए थे, इसलिए एक्सेस कुंजियों सहित उपयोगकर्ता लॉग डेटा को बिना किसी सीमा के पुनर्प्राप्त किया जा सकता था। जब समस्या की सूचना दी गई, तो ट्रैविस सीआई ने अनुमान लगाया कि एक्सेस टोकन, कुंजियाँ और क्लाउड क्रेडेंशियल सहित 770 मिलियन उपयोगकर्ता लॉग रिकॉर्ड चोरी हो गए थे।

ज़ोंबी एपीआई डिस्कवरी

आदर्श रूप से, सॉफ़्टवेयर डेवलपर्स बुनियादी ढांचे में परिवर्तनों का दस्तावेजीकरण करते हैं ताकि परिवर्तन नियंत्रण में नए API एंडपॉइंट शामिल हों। संचालन के लोग तब मॉनिटरिंग एजेंटों में एंडपॉइंट जोड़ सकते हैं, और ये एजेंट डेटा एकत्र करते हैं ताकि साइबर सुरक्षा और एनालिटिक्स मॉनिटर प्रशासकों को बता सकें कि संदिग्ध गतिविधि का पता कब चलता है। ज़ोंबी API तब होता है जब एंडपॉइंट का दस्तावेजीकरण नहीं किया जाता है, इसलिए मॉनिटरिंग एजेंट एंडपॉइंट से अनजान होते हैं। मॉनिटरिंग के बिना, कोई भी अनुरोध बिना किसी विश्लेषण और व्यवस्थापक अलर्ट के सर्वर पर भेजा जा सकता है।

संभावित ज़ॉम्बी एपीआई से निपटने के लिए, व्यवस्थापक अक्सर ट्रैफ़िक का पता लगाने के लिए नेटवर्क पर एजेंट स्थापित करेंगे। एजेंट ट्रैफ़िक डेटा एकत्र करते हैं और सर्वर और अन्य नेटवर्क इंफ्रास्ट्रक्चर पर खुले कनेक्शन का पता लगाते हैं। इस रणनीति के साथ समस्या यह है कि ज़ॉम्बी एपीआई अक्सर बिना किसी ट्रैफ़िक या अनुरोध के निष्क्रिय रहते हैं जब तक कि उन्हें खोजा नहीं जाता। उन्हें डेवलपर्स, संचालन या इंटरनेट पर किसी तीसरे पक्ष द्वारा खोजा जा सकता है। किसी तीसरे पक्ष द्वारा एंडपॉइंट खोजने के बाद ही ट्रैफ़िक लॉग किया जाएगा, लेकिन इसका मतलब यह नहीं है कि अनुरोध अलर्ट ट्रिगर करेंगे। एक ज़ॉम्बी एपीआई बिना किसी "हैकिंग" या विकृत क्वेरी के मानक अनुरोधों की अनुमति देगा। यही वह चीज़ है जो ज़ॉम्बी एपीआई को डेटा प्रकटीकरण के लिए इतना खतरनाक बनाती है।

ज़ोंबी एपीआई की खोज के लिए कृत्रिम बुद्धिमत्ता का उपयोग करना

ज़ॉम्बी एपीआई का प्रतिक्रियाशील रूप से पता लगाने के लिए एजेंटों पर निर्भर रहने के बजाय, कृत्रिम बुद्धिमत्ता के साथ काम करना और अपने कोड को स्कैन करना एक बेहतर समाधान है। इस रणनीति के दो चरण हैं: आंतरिक API के संदर्भों के लिए अपने रिपॉजिटरी कोड को स्कैन करना और यह निर्धारित करने के लिए ईवेंट लॉग का उपयोग करना कि क्या API को कोई अनुरोध प्राप्त होता है।

पहला कदम API के संदर्भों के लिए कोड को स्कैन करना है। ये API बाहरी या आंतरिक हो सकते हैं, लेकिन आपको आंतरिक API पर ध्यान केंद्रित करना चाहिए क्योंकि यह बुनियादी ढांचा आपके अपने डेटा को प्रभावित करता है। संदर्भ कई रिपॉजिटरी में हो सकते हैं, सक्रिय और अप्रचलित दोनों। आपको शायद यह भी पता न हो कि संदर्भ आपके कोड में हैं, लेकिन इसे स्कैन करने से वे खोज लिए जाएँगे ताकि एक सूची कृत्रिम बुद्धिमत्ता (AI) को भेजी जा सके।

अगला एक बड़ा भाषा मॉडल (LLM) है जिसका उपयोग इवेंट लॉग को निगलने और उसका विश्लेषण करने के लिए किया जाता है। इवेंट लॉग संभावित रूप से लाइन-बाय-लाइन डेटा के गीगाबाइट या टेराबाइट हो सकते हैं। इवेंट लॉग साइबर सुरक्षा और बुनियादी ढांचे पर उपयोग की निगरानी के लिए महत्वपूर्ण हैं, इसलिए उन्हें API होस्ट करने वाले सर्वर के लिए सेट किया जाना चाहिए। यदि API एंडपॉइंट को कोड में संदर्भित किया जाता है, लेकिन उसमें बहुत कम या कोई ट्रैफ़िक ईवेंट नहीं होता है, तो आपके पास ज़ॉम्बी API हो सकता है। संदर्भों और कई इवेंट लॉग वाले API का उपयोग और निगरानी की जा रही है, इसलिए उन्हें ज़ॉम्बी API नहीं माना जाएगा।

प्रत्येक API एंडपॉइंट संदर्भ पर एनालिटिक्स को प्रोसेस करने के लिए LLM का उपयोग करने में समय लगता है, लेकिन परिणाम उन प्रशासकों को आश्चर्यचकित कर सकते हैं जो अपने वातावरण में सक्रिय API के बारे में नहीं जानते हैं। उदाहरण के लिए, डोमिनोज़ पिज़्ज़ा इंडिया पर केस स्टडी हाल ही में 189 ज़ॉम्बी एपीआई मिले, जिनमें से 11% व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) को लिंक कर रहे थे। यह खोज 2063 एंडपॉइंट्स को स्कैन करने और डोमिनोज़ पिज़्ज़ा इंडिया के पूरे वातावरण में इवेंट लॉग का विश्लेषण करने में 2.2 दिन बिताने के बाद हुई।

क्या आपको ज़ोंबी एपीआई की निगरानी करनी चाहिए?

इसका उत्तर है "हाँ!" ज़ॉम्बी एपीआई आपके ग्राहक डेटा, आंतरिक डेटा या अन्य महत्वपूर्ण जानकारी को खुला छोड़ सकता है। एक अनुपालन वातावरण में, इस अनदेखी के कारण लाखों का जुर्माना लग सकता है। मुकदमेबाजी, ब्रांड क्षति, राजस्व प्रभाव और कई अन्य नकारात्मक परिणाम अनियंत्रित बुनियादी ढांचे से जुड़े होते हैं जो डेटा उल्लंघन की ओर ले जाते हैं।

साइबर सुरक्षा और घटना की त्वरित प्रतिक्रिया के लिए संगठन के परिवेश में बेहतर दृश्यता होना महत्वपूर्ण है। जैसे-जैसे ज़्यादा से ज़्यादा संगठन क्लाउड में बुनियादी ढांचे को तैनात कर रहे हैं, यह सुनिश्चित करना पहले से कहीं ज़्यादा महत्वपूर्ण है कि आपके पास ज़ॉम्बी एपीआई सहित कोई भी ढीला सिरा न हो। अपने बुनियादी ढांचे का दस्तावेज़ीकरण करना एक बेहतरीन पहला कदम है, लेकिन यह संभव है कि कुछ एपीआई दरारों से फिसल जाएँ। अपने कोड को लगातार स्कैन करने से ज़ॉम्बी एपीआई की पहचान करने में मदद मिलती है, जिन्हें फिर अक्षम किया जा सकता है या मॉनिटरिंग एजेंटों में जोड़ा जा सकता है। आपके बुनियादी ढांचे में बेहतर दृश्यता संवेदनशील डेटा को उजागर करने के जोखिम को कम करती है और आपके हमले की सतह को कम करती है।