- Api Yang Tidah diamankan, mesikupun data dienkripsi api yang tidak diamankan bertindak seperti pintu yang tidak terkunci. jika api tidak memiliki otentikasi yang kuat, penyerang bisa meminta data langsung dari server.
- karena enkripsi melindungi data dari pihak yang tidak memiliki kunci. Namun jika kontrol akses gagal sistem akan otomatis memberikan kunci/akses untuk membaca data tersebut
- – Api security, implementasi otorisasi dan lakukan audit keamanan api secara berkala – manajemen akses, teraopkan prisnip dan wajibkan mulyi faktor semua akun sensitif –
langkah respon, identifikasi: menentukan sumber kebocoran dan jenis data yang terimbas
investigasi: menganalisisi log untuk memahami bagaimana penyerang masuk
notifikasi: memberitahu pihak berwenang dan pengguna yang terdampak sesuai regulasi
