Sicherheitsbericht 🟠 Hoch

API-Sicherheitskrise: Massenhafte Datenexposition

5 Min. Lesezeit
HOHE DRINGLICHKEIT

Zusammenfassung

Kritische API-Schwachstellen in großen SaaS-Plattformen legen Millionen von Nutzerdaten offen. GraphQL-Introspection-Angriffe nehmen stark zu, da Unternehmen zunehmend auf API-First-Architekturen setzen. Eine neue BOLA-Schwachstellenklasse betrifft OAuth 2.0-Implementierungen bei über 40 Identity Providern.

⚡ Fazit: Ihre APIs sind wahrscheinlich stärker exponiert als Sie denken. Zeit für ein umfassendes API-Sicherheitsaudit.

☁️
Kritisch

CVE-2026-25001 — Salesforce API massenhafte Datenexposition

Warum es wichtig ist

Eine Broken Object Level Authorization (BOLA)-Schwachstelle in der Salesforce REST API ermöglicht es authentifizierten Nutzern, durch Manipulation von Objekt-IDs auf beliebige Datensätze zuzugreifen. Forscher schätzen, dass über 15.000 Salesforce-Organisationen Kundendaten durch fehlkonfigurierte API-Berechtigungen offenlegen könnten.

Auswirkung Beschreibung
Datenleck Zugriff auf sämtliche Kundendatensätze über Organisationen hinweg
PII-Exposition Namen, E-Mails, Telefonnummern, Kaufhistorie
Compliance Verstöße gegen DSGVO, CCPA, HIPAA
Reputation Vertrauensverlust bei Kunden und Markenschaden

Handlungsempfehlungen

  • Salesforce API-Berechtigungssets sofort überprüfen
  • Salesforce Shield Event Monitoring aktivieren
  • Freigaberegeln und Sicherheit auf Datensatzebene prüfen
  • Feldebenensicherheit für sensible Daten implementieren
  • Salesforce Security Health Check Tool verwenden
🔐
Kritisch

CVE-2026-25112 — OAuth 2.0 Token-Injection-Schwachstelle

Warum es wichtig ist

Eine Schwachstelle im OAuth 2.0 Authorization Code Flow betrifft über 40 Identity Provider, darunter Okta, Auth0 und individuelle Implementierungen. Angreifer können bösartige Tokens einschleusen, um Benutzersitzungen über verbundene Anwendungen hinweg zu kapern.

👤

Kontoübernahme

Über alle OAuth-verbundenen Anwendungen hinweg

🔓

Session-Hijacking

Ohne Diebstahl von Anmeldedaten

🛡️

MFA-Umgehung

In nachgelagerten Anwendungen

🔄

Persistenter Zugriff

Durch Diebstahl von Refresh Tokens

Handlungsempfehlungen

  • OAuth-Bibliotheken auf gepatchte Versionen aktualisieren
  • PKCE für alle Authorization Code Flows implementieren
  • Token Binding aktivieren, sofern unterstützt
  • redirect_uri serverseitig strikt validieren
  • Client Secrets für betroffene Anwendungen rotieren
📊
Anstieg

GraphQL-API-Introspection-Angriffe

Warum es wichtig ist

Angreifer nutzen GraphQL-Introspection-Abfragen aus, um API-Schemata zu kartieren und sensible Endpunkte zu entdecken. 67 % der GraphQL-APIs in Produktionsumgebungen haben Introspection aktiviert und legen damit interne Datenstrukturen und potenzielle Schwachstellen offen.

Handlungsempfehlungen

  • Introspection in Produktionsumgebungen deaktivieren
  • Query Depth Limiting implementieren
  • Rate Limiting pro Benutzer und pro Abfrage aktivieren
  • Persisted Queries zur Einschränkung von Operationen verwenden
  • GraphQL-fähige WAF-Regeln einsetzen
💳
Exposition

Stripe API-Schlüssel über clientseitigen Code exponiert

Warum es wichtig ist

Sicherheitsforscher fanden über 12.000 Websites, die versehentlich geheime Stripe API-Schlüssel in clientseitigem JavaScript offenlegen. Angreifer können diese Schlüssel für Rückerstattungsbetrug, Kundendatendiebstahl und betrügerische Transaktionen missbrauchen.

Kritisch: Wenn Sie Stripe verwenden, scannen Sie sofort Ihren Frontend-Code. Exponierte geheime Schlüssel können Ihr Händlerkonto leeren.

Handlungsempfehlungen

  • Frontend-Code auf exponierte API-Schlüssel scannen
  • Stripe Restricted Keys mit minimalen Berechtigungen verwenden
  • Stripe Radar zur Betrugserkennung aktivieren
  • Stripe-Integration ausschließlich serverseitig implementieren
  • Secret Scanning in CI/CD-Pipelines einsetzen
🚦
Forschung

REST-API-Rate-Limiting-Umgehungstechniken

Warum es wichtig ist

Neue Forschung demonstriert Techniken zur Umgehung gängiger API-Rate-Limiting-Implementierungen mittels HTTP/2-Multiplexing, Header-Manipulation und verteilten Angriffen. Viele APIs sind anfälliger für Missbrauch als ihren Betreibern bewusst ist.

Handlungsempfehlungen

  • Multi-Faktor-Rate-Limiting implementieren (IP + Benutzer + Endpunkt)
  • API-Gateways mit erweitertem Rate Limiting einsetzen
  • Anomalieerkennung für API-Datenverkehr aktivieren
  • Rate Limiting mit modernen Bypass-Techniken testen
  • API-Kontingente und Abrechnung in Betracht ziehen
🎟️
Fortlaufend

JWT Algorithm Confusion-Angriffe

Warum es wichtig ist

Angreifer nutzen weiterhin JWT-Implementierungen aus, die anfällig für Algorithm Confusion sind (alg:none, RS256→HS256). Viele benutzerdefinierte JWT-Bibliotheken und ältere Frameworks bleiben verwundbar.

Handlungsempfehlungen

  • Ausschließlich gut gewartete JWT-Bibliotheken verwenden
  • Erwarteten Algorithmus serverseitig explizit validieren
  • Algorithmus „none" in Produktionsumgebungen niemals akzeptieren
  • Asymmetrische Algorithmen (RS256/ES256) für öffentliche APIs verwenden
  • Mechanismus zur JWT-Token-Revokation implementieren

API-Sicherheitsaudit-Checkliste

Kritisch — Jetzt prüfen
  • KRITISCH: Salesforce API-Berechtigungen überprüfen
  • KRITISCH: OAuth-Bibliotheksversionen aktualisieren
  • GraphQL-Introspection in Produktionsumgebungen deaktivieren
  • Code-Repositories auf exponierte API-Schlüssel scannen
  • JWT-Implementierung und Algorithmus-Validierung überprüfen
Fortlaufende Verbesserungen
  • API-Gateway mit WAF-Funktionen implementieren
  • API-Protokollierung und -Monitoring aktivieren
  • Rate Limiting für alle APIs einrichten
  • API-Sicherheitsbewertung durchführen
  • API-Sicherheitsstandards dokumentieren
  • Entwickler zu den OWASP API Top 10 schulen

Scannen Sie Ihre APIs auf BOLA, fehlerhafte Authentifizierung und exponierte Secrets

🗡️ APIs scannen →

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home