-
Jika API tidak diamankan dengan baik (tidak memiliki rate limiting), penyerang dapat berpura-pura menjadi pengguna atau aplikasi sah. Karena penyerang dianggap sebagai “pengguna resmi”, sistem akan melakukan dekripsi data secara otomatis sebelum mengirimkannya melalui API tersebut. Dalam kasus Meta, fitur pencarian kontak disalahgunakan untuk mengumpulkan data publik secara massal. Dalam studi kasus, enkripsi tidak berguna karena data diberikan secara sukarela oleh sistem kepada “pintu” yang tidak terjaga.
-
Enkripsi memastikan data tidak terbaca jika dicuri dalam bentuk mentah (hard disk dicuri).
Otorisasi memastikan bahwa hanya orang yang berhak yang boleh melihat data tersebut.
Apabila kontrol otorisasi gagal, seseorang yang berhasil masuk ke sistem dapat mengakses data milik pengguna lain hanya dengan mengubah ID yang ada di API. Meskipun data tersebut tersimpan secara terenkripsi di database, aplikasi akan mendekripsinya untuk ditampilkan kepada siapa pun yang memintanya jika sistem gagal memverifikasi hak akses pengguna tersebut. -
Langkah pencegahan utama dilakukan dengan menerapkan rate Limiting untuk membatasi frekuensi permintaan data guna mencegah pengumpulan data, serta memperkuat kontrol otorisasi untuk memastikan setiap pengguna hanya bisa mengakses data milik mereka sendiri. Selain itu, perlu dilakukan pemantauan aktivitas API secara langsung melalui sistem logging dan monitoring guna mendeteksi serta memblokir perilaku akses yang tidak wajar secara otomatis.
-
Setelah kebocoran terdeteksi, langkah-langkah respons cepat yang harus diambil adalah untuk mengisolasi atau mematikan sementara fitur atau API yang bocor agar menghintakan lebih banyak data keluar, lalu mengidentifikasikan data apa saja yang bocor dan metode serangannya. Bila isolasi dan identifikasi selesai, segera menutup celah kemanan dan memastikan untuk meningkatkan pertahanan sebelum memulihkan layanan agar tidak lagi terjadi kebocoran, penting juga untuk melaporkan kepada pihak berwenang mengenai kebocoran data tersebut.
