1. Enkripsi hanya melindungi data dari penyadapan saat dikirim, namun API adalah pintu masuknya. Jika API tidak memiliki validasi identitas yang ketat, siapa pun bisa meminta data dan sistem akan memberikannya dalam bentuk yang sudah terbaca karena menganggap permintaan itu sah.
2. Kegagalan Kontrol Akses Enkripsi ibarat gembok, sedangkan kontrol akses adalah pemegang kuncinya. Jika otorisasi gagal, penyerang bisa masuk sebagai pengguna resmi. Begitu akses didapatkan, sistem otomatis membuka enkripsi untuk mereka, sehingga data tetap bocor meski sudah disandikan.
3. Langkah Pencegahan
Rate Limiting: Membatasi jumlah akses untuk mencegah pengambilan data massal.
Otorisasi Ketat: Menggunakan token akses (seperti OAuth) yang divalidasi setiap saat.
Minimalisasi Akses: Memberikan hak akses hanya pada data yang benar-benar diperlukan.
4. Respons Insiden Awal
Isolasi: Mematikan API yang bermasalah untuk menghentikan kebocoran seketika.
Audit Log: Melacak aktivitas untuk melihat sejauh mana data telah diambil.
Patching: Menutup celah keamanan dan meriset semua kunci akses yang mencurigakan.
