APIs em 2025: O Elo Fraco na Segurança Digital
As APIs, verdadeiras colunas vertebrais das aplicações modernas, continuam a ser os alvos mais apetecíveis para cibercriminosos. Em plena era digital de 2025, continuam perigosamente desprotegidas, expondo as infraestruturas organizacionais a ataques devastadores.
O caso mais mediático continua a ser o ataque à Optus em 2022, onde cibercriminosos exploraram um endpoint API sem autenticação e roubaram milhões de registos de clientes — um desastre que custou à operadora 140 milhões de dólares australianos. E, apesar dos avisos, estas vulnerabilidades continuam a ser tão simples de explorar que até um principiante pode aprendê-las em apenas um dia.
Três anos depois, a equipa de cibersegurança da Intruder ainda encontra os mesmos erros em APIs de gigantes do S&P 500. A resposta? Autoswagger — uma ferramenta gratuita e open-source criada para caçar falhas de autorização em APIs e pôr a nu os erros que os hackers esperam que ninguém descubra.
Autoswagger: A Arma Cibernética Gratuita para Identificar Falhas que Ninguém Vê
Autoswagger procura automaticamente documentação de API exposta — como OpenAPI ou Swagger — e analisa os endpoints com base nos parâmetros válidos da própria documentação. Qualquer resposta que devolva dados sensíveis sem controlo de acesso (sem 401 ou 403) é imediatamente sinalizada.
Se um endpoint retorna dados confidenciais — como credenciais ou informações pessoais identificáveis (PII) — sem validação adequada, é automaticamente marcado no relatório.
Disponível gratuitamente no GitHub, o Autoswagger pode ser potenciado com a flag --brute, ideal para testar endpoints que parecem protegidos, mas que aceitam entradas específicas. Uma função brutalmente eficaz para descobrir falhas que passariam despercebidas em auditorias tradicionais.
Casos Reais: Falhas API de Alto Risco Detetadas pelo Autoswagger
A ferramenta foi testada em alvos de vários programas Bug Bounty de grandes empresas — e os resultados são chocantes. Eis quatro exemplos de falhas de autorização detetadas no mundo real:
Credenciais MPN da Microsoft Expostas
Um endpoint chamado ‘config’ expunha credenciais e chaves API ligadas aos armazéns de dados do Microsoft Partner Program. Entre os dados acessíveis estavam credenciais válidas para uma base Redis que continha PII dos parceiros, incluindo cursos e certificações.
A rota comprometida estava escondida a seis níveis de profundidade (/1/dashboard/mpn/program/api/config/), virtualmente indetetável por força bruta. Foi apenas descoberta porque a documentação OpenAPI estava exposta.
Mais de 60.000 Registos Salesforce Vazados
Noutro caso, uma API ligada a uma instância Salesforce de uma grande tecnológica devolvia registos de clientes com nomes, contactos e histórico de encomendas. Bastava manipular o parâmetro de URL ‘ByDate’ para extrair 1.000 registos por pedido. Um verdadeiro pesadelo de exfiltração em massa.
Acesso SQL em App Interna de Formação
Uma conhecida marca de refrigerantes mantinha uma API interna de formação com permissões mal configuradas. Executada em Azure Functions, a API permitia a qualquer utilizador executar queries SQL arbitrárias.
Embora os dados fossem “apenas” registos de formação, continham nomes e e-mails de colaboradores — ingredientes perfeitos para campanhas de phishing dirigidas. A exposição da documentação deveu-se à instalação de uma extensão desnecessária que a tornou pública.
Enumeração AD em Octopus Deploy (CVE-2025-0589)
Por fim, foi descoberta uma vulnerabilidade crítica (CVE-2025-0589) que permitia a um atacante não autenticado enumerar utilizadores do Active Directory se este estivesse integrado com o servidor Octopus Deploy. Uma brecha perigosa com implicações graves na segurança organizacional.
Documentação Automática: O Mapa do Tesouro para os Hackers
A documentação automática das APIs pode ser uma benção para os programadores — mas é também uma dádiva para os atacantes. Quando uma API expõe o seu schema, está literalmente a entregar um mapa detalhado dos seus pontos fracos.
Não basta esconder documentação para garantir segurança. No entanto, expô-la publicamente sem necessidade é abrir as portas aos cibercriminosos. Na maioria dos casos analisados, as APIs vulneráveis nem sequer estavam destinadas ao público — mas os seus esquemas estavam expostos, tornando-as alvos fáceis.
A mensagem é clara: se as suas APIs internas estão documentadas e visíveis na internet, podem estar a oferecer aos hackers tudo o que precisam para penetrar a sua infraestrutura.
Hashtags:
#Cibersegurança #APIs #Hacking #SegurançaDigital #Intruder #Autoswagger #Microsoft #Salesforce #OpenSource #FalhasDeSegurança #PortugalTech #Tecnologia2025
