剣 KENSAI
← All posts · security · 2026-02-08 · 5 min

Crisi Sicurezza API: Esposizioni di Dati di Massa

5 min di lettura
URGENZA ALTA

Sintesi Esecutiva

Vulnerabilità API critiche nelle principali piattaforme SaaS espongono milioni di record utente. Gli attacchi di introspezione GraphQL aumentano mentre le aziende adottano architetture API-first. Una nuova classe di vulnerabilità BOLA colpisce le implementazioni OAuth 2.0 in oltre 40 provider di identità.

⚡ In sintesi: Le Sue API sono probabilmente più esposte di quanto pensi. È il momento di un audit completo della sicurezza API.

☁️
Critica

CVE-2026-25001 — Esposizione Dati di Massa API Salesforce

Perché è importante

Una vulnerabilità BOLA (Broken Object Level Authorization) nella REST API di Salesforce consente agli utenti autenticati di accedere a qualsiasi record manipolando gli ID oggetto. I ricercatori stimano che oltre 15.000 organizzazioni Salesforce potrebbero esporre dati dei clienti tramite permessi API mal configurati.

Impatto Descrizione
Data Breach Accesso a tutti i record clienti tra organizzazioni
Esposizione PII Nomi, email, numeri di telefono, cronologia acquisti
Conformità Violazioni GDPR, CCPA, HIPAA
Reputazionale Perdita di fiducia dei clienti e danno al brand

Azioni da Intraprendere

  • Verifichi immediatamente i set di permessi API Salesforce
  • Attivi il monitoraggio eventi Salesforce Shield
  • Controlli le regole di condivisione e la sicurezza a livello di record
  • Implementi la sicurezza a livello di campo per i dati sensibili
  • Utilizzi lo strumento Security Health Check di Salesforce
🔐
Critica

CVE-2026-25112 — Vulnerabilità Iniezione Token OAuth 2.0

Perché è importante

Una vulnerabilità nel flusso del codice di autorizzazione OAuth 2.0 colpisce oltre 40 provider di identità inclusi Okta, Auth0 e implementazioni custom. Gli attaccanti possono iniettare token malevoli per dirottare sessioni utente attraverso applicazioni connesse.

👤

Compromissione Account

Su tutte le applicazioni connesse via OAuth

🔓

Dirottamento Sessione

Senza furto di credenziali

🛡️

Bypass MFA

Nelle applicazioni downstream

🔄

Accesso Persistente

Tramite furto del token di refresh

Azioni da Intraprendere

  • Aggiorni le librerie OAuth alle versioni corrette
  • Implementi PKCE per tutti i flussi di codice di autorizzazione
  • Attivi il token binding dove supportato
  • Validi rigorosamente redirect_uri lato server
  • Ruoti i client secret per le applicazioni interessate
📊
Ondata

Attacchi di Introspezione API GraphQL

Perché è importante

Gli attaccanti stanno sfruttando le query di introspezione GraphQL per mappare gli schemi API e scoprire endpoint sensibili. Il 67% delle API GraphQL in produzione ha l'introspezione abilitata, esponendo strutture dati interne e potenziali vulnerabilità.

Azioni da Intraprendere

  • Disabiliti l'introspezione negli ambienti di produzione
  • Implementi limitazione della profondità delle query
  • Attivi rate limiting per utente e per query
  • Utilizzi query persistenti per limitare le operazioni
  • Distribuisca regole WAF specifiche per GraphQL
💳
Esposizione

Esposizione Chiavi API Stripe nel Codice Client

Perché è importante

I ricercatori di sicurezza hanno trovato oltre 12.000 siti web che espongono accidentalmente chiavi API segrete di Stripe nel JavaScript client-side. Gli attaccanti possono usare queste chiavi per frodi di rimborso, furto di dati clienti e transazioni fraudolente.

Critico: Se utilizza Stripe, scansioni immediatamente il Suo codice frontend. Le chiavi segrete esposte possono prosciugare il Suo conto merchant.

Azioni da Intraprendere

  • Scansioni il codice frontend per chiavi API esposte
  • Utilizzi chiavi ristrette Stripe con permessi minimi
  • Attivi Stripe Radar per il rilevamento frodi
  • Implementi l'integrazione Stripe solo lato server
  • Utilizzi la scansione dei segreti nelle pipeline CI/CD
🚦
Ricerca

Tecniche di Bypass del Rate Limiting REST API

Perché è importante

Una nuova ricerca dimostra tecniche per bypassare le implementazioni comuni di rate limiting API usando multiplexing HTTP/2, manipolazione degli header e attacchi distribuiti. Molte API sono più vulnerabili agli abusi di quanto gli operatori realizzino.

Azioni da Intraprendere

  • Implementi rate limiting multi-fattore (IP + utente + endpoint)
  • Utilizzi gateway API con rate limiting avanzato
  • Attivi il rilevamento anomalie per il traffico API
  • Testi il rate limiting con tecniche moderne di bypass
  • Consideri l'implementazione di quote e fatturazione API
🎟️
In Corso

Attacchi di Confusione Algoritmo JWT

Perché è importante

Gli attaccanti continuano a sfruttare implementazioni JWT vulnerabili alla confusione di algoritmo (alg:none, RS256→HS256). Molte librerie JWT custom e framework datati rimangono vulnerabili.

Azioni da Intraprendere

  • Utilizzi solo librerie JWT ben mantenute
  • Validi esplicitamente l'algoritmo atteso lato server
  • Non accetti mai l'algoritmo "none" in produzione
  • Utilizzi algoritmi asimmetrici (RS256/ES256) per API pubbliche
  • Implementi un meccanismo di revoca dei token JWT

Checklist Audit Sicurezza API

Critico — Verifichi Ora
  • CRITICO: Verifichi i permessi API Salesforce
  • CRITICO: Aggiorni le versioni delle librerie OAuth
  • Disabiliti l'introspezione GraphQL in produzione
  • Scansioni i repository di codice per chiavi API esposte
  • Verifichi l'implementazione JWT e la validazione algoritmi
Miglioramenti Continui
  • Implementi un gateway API con capacità WAF
  • Attivi logging e monitoraggio API
  • Distribuisca rate limiting su tutte le API
  • Conduca valutazioni di sicurezza API
  • Documenti gli standard di sicurezza API
  • Formi gli sviluppatori su OWASP API Top 10