Firmalara yapılmış Api Saldırıları

API saldırıları, API güvenliğinin ne kadar kritik olduğunu ve tek bir zafiyetin bile milyonlarca kullanıcının verisini nasıl riske atabileceğini göstermektedir.

1.      Equifax (2017)

SQL enjeksiyonu yoluyla gerçekleştirilen bir saldırıydı. Yaklaşık 147 milyon ABD'li  ve 15 milyon İngiliz vatandaşının verileri sızdırıldı. Firma, bu ihlal nedeniyle yaklaşık 425 milyon dolarlık bir uzlaşma bedeli ödemek zorunda kaldı.

2.      Facebook (Cambridge Analytica Skandalı) (2018)

Facebook'un platform API'sinin kötüye kullanılmasıyla gerçekleşen bir veri ihlaliydi. Cambridge Analytica adlı şirket, bir uygulamaya verilen yetkiler sayesinde hem uygulamayı kullananların hem de bu kişilerin arkadaş çevrelerinin verilerine erişim sağladı. Yaklaşık 87 milyon Facebook kullanıcısının kişisel verileri, siyasi manipülasyon amaçlı olarak izinsiz toplandı. Facebook, bu olay nedeniyle ABD Federal Ticaret Komisyonu'na (FTC) 5 milyar dolarlık rekor bir para cezası ödemek zorunda kaldı.

3.      USPS API Açığı (2018) – ABD Posta Servisi

Zayıf API kimlik doğrulaması ile 60 milyon kullanıcının hassas verileri (adresler, telefonlar) sızdırıldı. 3 yıl süren davalar ve sistem baştan tasarlandı.

4.      Venmo API Sorunu (2018)

Public API'da şifreleme eksikliği nedeniyle, kullanıcıların finansal geçmişi herkese açık hale geldi.

5.      Strava API İhlali (2018) – Askeri Üslerin Konumu Açığa Çıktı

API'da veri aggregasyonu zafiyeti nedeniyle, kullanıcıların fitness aktiviteleri ve gizli askeri bölgelerin yerlerini ifşa etti.

6.      T-Mobile (2021)

T-Mobile'ın, operatörün iç sistemlerine erişim için kullandığı bir API'deki kimlik doğrulama zafiyeti kullanıldı. Saldırgan, bu API üzerinden milyonlarca müşterinin hassas verilerine erişim sağladı. Yaklaşık 54 milyon eski ve yeni T-Mobile müşterisinin kişisel bilgileri sızdırıldı. Şirket, bu ihlalden kaynaklanan davaları ve masrafları karşılamak için 350 milyon dolarlık bir fon ayırmak zorunda kaldı.

7.      Peloton API Güvenlik Açığı (2021)

API'da aşırı veri paylaşımı (IDOR zafiyeti). Kullanıcıların özel verileri (yaş, kilo, konum) izinsiz erişilebilir oldu. Firmanın hisse değeri %15 düştü ve soruşturması başlatıldı.

8.      Optus (2022)

Avustralyalı telekomünikasyon şirketi Optus'un müşteri verilerini sorguladığı bir API'deki kimlik doğrulama (authentication) ve yetkilendirme (authorization) eksikliği kullanılarak saldırı gerçekleştirildi. Yaklaşık 10 milyon müşterinin kişisel bilgileri çalındı. Şirket, bu ihlal nedeniyle veri koruma yasalarının ihlal edildiği gerekçesiyle 1 milyar dolarlık bir tazminat davasıyla karşı karşıya kaldı.

9.      Twitter API Saldırısı (2023)

Saldırganlar, Twitter'ın API'sindeki bir açıklıktan faydalanarak bir kullanıcının telefon numarası veya e-posta adresini, kullanıcının benzersiz kimlik numarasına (Twitter ID) eşleştirebiliyordu. Bu, "Veri Sızıntısı" (Data Leakage) olarak bilinen bir tür zafiyetti. Bu sayede. 5.4 milyon kullanıcı verisi sızdırıldı. Veri koruma yönetmenliğine ihlalden dolayı Twitter hakkında çok sayıda dava açılmıştır.

10.  T-Mobile API Açığı (2023)

Yetkisiz API erişimi (kimlik doğrulama eksikliği) ile 37 milyon müşterinin kişisel verisi çalındı. 350 milyon $ tazminat ödemek zorunda kalmıştır.