Jak wyciekać dane to w setkach milionów. Zupełnie niezabezpieczone API dostępne przez kilka lat…

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial:

Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak był podpięty do aktualnej bazy produkcyjnej i zapomniany. Zapomniany przez wszystkich poza crackerami :)

Warto się zatem zastanowić czy podobnego przypadku nie mamy w naszej infrastrukturze, np. na zasadzie:

obecnie rozwijamy czwartą wersję API mobilnego, nie zajmujemy się już poprzednimi. Poprzednie wersje udostępniamy tak na wszelki wypadek (może ktoś z nich jeszcze korzysta, a przecież stara wersja API to żadne zagrożenie :-)

–ms