Ciência e Tecnologia

Brasil atinge 60 milhões de tentativas de ataques de API e Aplicações Web e quase supera volume total de 2021

Pesquisadores da Akamai analisaram os ataques e viram um aumento de três vezes no primeiro trimestre de 2022 em relação ao primeiro trimestre de 2021

Por Assessoria 11/07/2022 15h04
Brasil atinge 60 milhões de tentativas de ataques de API e Aplicações Web e quase supera volume total de 2021
Ataques API e aplicações Web - Foto: Pexels Pixabay

Ataques à APIs e Web são ameaças comuns à cibersegurança de empresas e usuários e vêm crescendo no Brasil. Tantos os ataques às APIs quanto às aplicações Web podem afetar empresas de diversos segmentos, como financeiro, varejo, mídia e entretenimento, gerando bilhões em perdas financeiras ano a ano. Segundo dados da Akamai, empresa de nuvem que potencializa e protege a vida online, só nos primeiros meses do ano, já aconteceram mais de 60 milhões de tentativas de ataques à APIs e Web.

As tentativas desses tipos de ataque estão atingindo um crescimento vertiginoso. Helder Ferrão, Gerente de Marketing de Indústrias da Akamai Technologies para América Latina, aponta que ao fazer um recorte do Brasil, no primeiro trimestre, o país já conta com mais de 60 milhões de ataques. “Só nos primeiros meses desse ano, o número de ataques no país quase supera o volume total de ataques realizados no ano inteiro de 2021 - de quase 72 milhões. Os invasores estão trabalhando duro para se infiltrar em seus sistemas, roubar seus dados e os dados de seus usuários, paralisar sistemas e causar estragos em geral”.

O que são esses ataques?


Traduzindo, API é um mini sistema que faz a ponte entre um sistema maior e terceiros. Um exemplo prático da utilização de uma API é ter uma integração entre uma rede social e um outro site, permitindo utilizar um login de redes sociais como cadastro em outros aplicativos, sites ou sistemas. Desse modo, o usuário não precisa realizar um cadastro diferente toda vez que for acessar um app ou site novo.

Diversas APIs são acessadas por muitos apps e oferecem serviços diversificados, como pagamentos, mapas, armazenamento na nuvem, redes sociais etc. Porém, essas interfaces podem sofrer ataques de vulnerabilidades, problemas de autenticação, bots e negação de serviço (DDoS).

Já as aplicações Web são executadas diretamente na internet através dos recursos próprios do navegador, como Google Chrome, Firefox, Microsoft Edge etc., e conseguem proporcionar uma experiência bem próxima a dos aplicativos. Por seu armazenamento ser na nuvem, ao sofrer um ciberataque, as aplicações estão sujeitas à exposição e roubo de dados cadastrais de usuários e interrupção nos serviços da organização.

A Akamai analisou os 1.000 principais ataques do primeiro trimestre de 2022 em comparação ao mesmo período de 2021, em 93 empresas de diferentes setores e localizações geográficas ao redor do mundo. No estudo, constatou-se um aumento de três vezes no número de ataques de API e aplicações Web.

Os dados apontaram os principais modelos de campanhas de ataque observados, sendo eles: campanhas de ataque de longa duração (ataques com uma alta frequência e consistência, dando origem a uma espécie de padrão observada em gráficos), campanhas de ataques de rajada curta (picos de atividade em que os volumes diários de ataque são executados diversas vezes acima da média e tendem a se agrupar naturalmente em alguns dias) e campanhas de ataque único (empresas vivenciam um dia ou dois de ataque muito além do que eles estão acostumadas e então o ataque desaparece).

Setores mais atingidos e os prejuízos desses ataques


Alguns setores sofrem mais com esses ataques. “Setores de serviços financeiros, varejo, mídia e entretenimento são as maiores vítimas dos ataques de API e aplicações Web justamente pelo grande volume de informações ‘valiosas’ sobre usuários que eles armazenam e processam em grandes quantidades. Por exemplo, é comum vermos na mídia notícias sobre vazamentos de dados de usuários de um grande banco ou serviço de streaming’, comenta Ferrão. Ainda assim, é possível apontar o setor de comércio como sendo o maior alvo de ataques nesse primeiro trimestre.

Já os prejuízos causados pelos ataques de aplicações web são o vazamento e roubo de dados pessoais de usuários ou informações sigilosas que oferecem prejuízo não só financeiro mas de reputação. Em alguns casos, existe também a interrupção de serviços, causando perdas financeiras às empresas atingidas. As Lojas Americanas e Submarino, que sofreram um ciberataque ano passado e ficaram fora do ar, tiveram perda de valor de mercado de mais de R$ 2 bilhões, segundo dados da Refinitiv.

A Akamai ainda observa alguns comportamentos específicos de ataque que os invasores utilizam. “Continuamos a ver tentativas de explorar vulnerabilidades não corrigidas de grande sucesso como o Log4Shell e assumimos que veremos o mesmo no Spring4Shell. Embora não possamos prever como um invasor explorará o aplicativo da Web e as APIs em seguida, isso é mais uma prova de que precisamos sempre nos manter atualizados com os patches e garantir que as proteções adequadas estejam em vigor. Para isso, é necessário manter as regras de firewall do aplicativo da Web atualizadas e no modo de negação”, conclui Ferrão.