85 milliárd alkalommal próbáltak visszaélni belépési adatokkal

Európában a PSD2 sztenderdizálta az ügyféladatok átadási folyamatát. A szabályozás meghatározza azt a keretrendszert, amiben harmadik feles szolgáltatók, az ügyfél beleegyezése után hozzáférhetnek a banki ügyféladatokhoz, az ilyen adatátadások pedig szigorú kritériumrendszer alapján meghatározott API-kon keresztül történhetnek. De nem volt ez mindig így, vagy úgy is mondhatnánk, hogy nincs ez mindenhol így.

A szabályozott Open Banking folyamatok előtt Európában is több, screenscraping technológiával működő vállalkozás üzemelt. Ebben az esetben a felhasználó átadja a belépési adatait egy harmadik feles szolgáltatónak, aki egy erre a célra készített robot segítségével belép a felhasználói fiókjába és leolvassa a szükséges adatokat. Különbözően szigorú fellépés mellett, de Európában ez egy ideje már tiltott, Amerikában viszont például a mai napig lehetséges. Az API-kon való kommunikáció nagy előnye, hogy az ügyfél belépési adatai nélkül, a bank által meghatározott módon (vagy jogszabály által előírtak szerint) autentikált környezetben történik az információcsere, így kevesebb a visszaélési lehetőség.

Ezt ismerte fel az amerikai JP Morgan Chase digitális platformjának vezetője is. Döntésének értelmében 2020 július 30-a után kizárólag API-n keresztül nyerhető ki ügyféladat a rendszerükből. Paul LaRusso azt is hangsúlyozta közleményében, hogy az elmúlt évek alatt egyszerűen használható, ügyfeleket támogató API alapú digitális platformot építettek fel, melyen minden szükséges funkció elérhető.

Vannak azonban olyanok is, akik nem lelkesednek az API alapú rendszerekért, ilyen a kanadai Chinchy CEO-ja. Hangsúlyozza, hogy a jelenleg használatos API sztenderdek nem elég biztonságosak, magas a sérülékenységük, amit a kiberbűnözők is felismertek.

A 2017 decembere és 2019 novembere közötti két évben összesen 85 milliárd alkalommal próbáltak visszaélni belépési adatokkal, ebből 16 milliárd támadást intéztek API végpontokat ellen. 500 millió támadás pedig egyenesen pénzügyi intézményeket érintett.

 

Forrás: thefinaser

 

Suppan Márton

 

E-mail címed nem kerül nyilvánosságra.