In april dit jaar berichtten media over een groot LinkedIn datalek. Deze week kwam naar buiten dat er wederom een lek heeft plaatsgevonden, waarbij de gegevens van 700 miljoen gebruikers op straat kwamen te liggen.
Oded Vanunu, Head of Products Vulnerability bij Check Point Software Technologies, waarschuwt dat dit niet een op zichzelf staand incident is. Onderzoek van Check Point Research toonde eerder al problemen met TikTok-API's aan.
"Deze zaak is vergelijkbaar met wat we eerder meldden over TikTok, waar we met een TikTok-API query een gebruikersdatabase konden bouwen. In het geval van Linkedin lijkt het erop dat de hackers de data hebben verkregen door de LinkedIn-API te hacken om de informatie die gebruikers naar de site hebben geüpload te kunnen verzamelen. Deze incidenten tonen aan dat API-beveiliging erg belangrijk is tijdens de bouw van applicatielogica en -infrastructuur. Cloudapplicaties worden voornamelijk gebouwd met kernapplicatielogica die data door middel van veel API's door de hele applicatie stuurt. Als deze API's niet veilig zijn, stelt dit hen bloot aan risico's, vooral bij kwetsbaarheden in API-code of bij onbeperkte API-calls. Dit kan een groot databaselek veroorzaken, zoals nu gebeurd is bij LinkedIn."