Najnovije sigurnosno izvješće agencije SC Media otkriva da su aplikacijska programska sučelja (API) postali uvjerljivo najslabija karika u cyber obrani modernog poslovanja. Zbog masovne digitalizacije usluga i uvođenja otvorenog bankarstva, broj API veza eksplodirao je izvan kontrole sigurnosnih timova. Hakeri koriste loše konfigurirane i nedokumentirane API-jeve za krađu masovnih baza podataka i neovlašteno izvršavanje transakcija.
Depositphotos / Ilustracija
API-jevi su nevidljivo ljepilo koje drži na okupu moderni internet, omogućujući različitim aplikacijama da razmjenjuju podatke u realnom vremenu. Međutim, upravo je ta nevidljivost i sveprisutnost postala primarna meta kibernetičkih kriminalaca. Podaci objavljeni u zadnjih 48 sati pokazuju zastrašujući trend: napadi usmjereni specifično na API sučelja bilježe rast od 85% na godišnjoj razini, pri čemu je financijski sektor (banke, kartične kuće, fintech startupi) uvjerljivo najpogođenija meta.
Glavni problem leži u fenomenu poznatom kao „Shadow APIs“ – riječ je o API-jevima koje su razvojni programeri kreirali za potrebe testiranja ili starih verzija aplikacija, a koji su ostali aktivni na poslužiteljima, zaboravljeni od strane sigurnosnih timova. Ovisno o zaboravljenim kanalima, oni često nemaju implementirane osnovne obrambene mehanizme poput višefaktorske autentifikacije, ograničenja broja upita (rate limiting) ili napredne enkripcije. Hakeri koriste automatizirane skenere kako bi pronašli ove propuste, nakon čega mogu izravno pristupiti core bazama podataka, zaobilazeći sve vanjske vatrozide (firewalls).
Drugi čest oblik napada je manipulacija parametrima unutar API upita (BOLA – Broken Object Level Authorization). Napadač uspijeva modificirati identifikacijski broj u kôdu upita i tako prisiliti sustav da mu prikaže podatke o računu nekog drugog korisnika. Budući da sustav prepoznaje upit kao legitiman format, tradicionalni sigurnosni alati ne podižu uzbunu. Stručnjaci naglašavaju da zaštita API-jeva zahtijeva prelazak na specijalizirana sigurnosna rješenja koja koriste strojno učenje za analizu ponašanja svakog pojedinačnog API poziva i prepoznavanje suptilnih anomalija.
API-jevi su nevidljivo ljepilo koje drži na okupu moderni internet, omogućujući različitim aplikacijama da razmjenjuju podatke u realnom vremenu. Međutim, upravo je ta nevidljivost i sveprisutnost postala primarna meta kibernetičkih kriminalaca. Podaci objavljeni u zadnjih 48 sati pokazuju zastrašujući trend: napadi usmjereni specifično na API sučelja bilježe rast od 85% na godišnjoj razini, pri čemu je financijski sektor (banke, kartične kuće, fintech startupi) uvjerljivo najpogođenija meta.
Trinaest europskih cloud pružatelja podržalo je inicijativu Europske unije za smanjenje ovisnosti o američkim tehnološkim platformama, čime se pitanje digitalne suverenosti ponovno vratilo u središte europske ICT politike. Ta podrška nije samo politička poruka Bruxellesu, nego i signal tržištu da se formira širi savez dobavljača, zakonodavaca i organizacija koje žele jaču ulogu europske infrastrukture u javnom sektoru, kritičnim industrijama i razvoju umjetne inteligencije.
Istraživačka tvrtka Sensor Tower procjenjuje da je OpenAI-jev ChatGPT u svibnju 2026. premašio milijardu mjesečno aktivnih korisnika aplikacije. Time je ChatGPT postao najbrži tehnološki proizvod u povijesti koji je dosegnuo tu brojku.
