Jawaban:
1.Meskipun data dienkripsi saat dikirim(transit) atau disimpan(at rest) API yang tidak aman bertindak seperti pintu yang terbuka lebar:
- Akses sah tapi berlebihan: jika API tidak memiliki pembatasan(rate limiting) atau validasi input yang ketat, penyerang bisa menggunakan akun sah untuk menarik data dalam jumlah besar(scarping)
- Enkripsi Tidak menolong: Enkripsi melindungi data dari pihak ketiga yang mecoba “mengintip” di tengah jalan
2. – Otorisasi Gagal: jika kontrol akses gagal, sistem tidak bisa membedakan antara pemilik data yang sah dan penyerang
– Kunci terbuka: karena penyerang di anggap sebagai pengguna sah, sistem akan secara otomatis memberikan data dalam bentuk yang sudah dideskripsi(plain text)
3. – Implementasi oauth2 & openID connect: memastikan hanya aplikasi dan pengguna terverifikasi yang bisa yang bisa mengakses API dengan scope(cakupan)
– Rate limiting & throtthling: membatasi jumlah permintaan yang bisa dilakukan oleh satu akun atau alamat IP dalam jangka waktu tertentu untuk mencegah data scarping
4. – Identifikasi & isolasi: segera mengidentifikasi titik masuk API dan mematikan atau membatasi akses ke fitur
– Revokasi token/akses: mencabut revoke semua akses token atau kredensial yang dicurigai telah disalahgunakan
– Analisis forensik: memeriksa log untuk menentukan seberapa banyak data yang di ambil dan siapa saja pengguna yang terdampak
– Notifikasi & transparansi: memberitahu otoritas terkait dan pengguna yang terdampak
