פלוטון היא יצרנית מובילה של אופני כושר ומכשירי ריצה חכמים. מכשירי הכושר של פלוטון מצוידים במסך עם מיקרופון ומצלמה, דרכם יכולים מנויים להשתתף אינטראקטיבית בשיעורים מוקלטים או חיים מהבית. אפילו נשיא ארה"ב ג'ו ביידן נמנה עם לקוחותיה, לפי הדיווחים. אלא שבחודש שעבר התגלתה פרצה שמאפשרת להגיע אל נתוני הגיל, המין, מקום המגורים והיסטורית האימונים של מיליוני המנויים של פלוטון, כולל אולי גם אלו של ביידן.
חודש קודם לכן, באפריל, התגלתה פרצת אבטחה אחרת שאפשרה לבדוק את נתוני דירוג האשראי של עשרות מיליוני אמריקאים. חוקר אבטחה שגלש לאתר הלוואות סטודנטים גילה כי ניתן לבדוק דרכו את דירוג האשראי של אזרחים. כל מה שצריך זה רק להקליד את שם האזרח והכתובת שלו - מידע שאפשר כמובן לאסוף בקלות.
בשני המקרים המדוברים החולשה שאפשרה את חשיפת המידע הייתה ב-API (ממשקי חיבור ליישומים). ממשקי API מאפשרים למערכות מחשב לדבר אחת עם השנייה ולמשוך מידע זו מזו.
במקרה של פלוטון, API הוא שאפשר תקשורת בין החומרה של האופניים לבין השרתים של החברה. במקרה של חשיפת נתוני האשראי, אתר הלוואות הסטודנטים הטמיע API של חברה שאוספת נתונים אלו. רק שבשני המקרים כאמור, ממשק ה-API לא היה מאובטח וגילה נתונים שלא היה אמור.
מקרים אלו ורבים אחרים מובילים לגל של השקעות בעולם של אבטחת אותם ממשקי API, כסף שמגיע גם אל חברות ישראליות. היום (ד') הודיע סטארט-אפ הסייבר הישראלי נו ניים סקיוריטי (Noname Security), שמתחמה באבטחת ממשקי API, על גיוס 60 מיליון דולר בהובלת קרן אינסייט פרטנרס.
הסטארט-אפ שהוקם בשנה שעברה על ידי עוז גולן (מנכ"ל) ושי לוי (מנהל טכנולוגיות ראשי), שניהם יוצאי 8200 שהכירו בשירות הצבאי, גייס 85 מיליון דולר בסך הכל עד היום.
נו ניים סקיוריטי מעסיקה כ-70 עובדים בפאלו אלטו ובתל אביב. החברה השיקה את המוצר שלה באוגוסט האחרון ולפי הודעתה עובדת עם מאות לקוחות מעולמות הפיננסים, הבנקאות והקמעונאות על הגנת API, כולל חברות פורצ'ן 500, אף שבנו ניים לא מציינים שמות.
וקטור ההתקפה הפופולרי
לממשקי API שימושים רבים ואלו מאפשרים למפתחים להתחבר ליישומים חיצוניים כדי להוסיף פונקציות לאפליקציות בקלות. כך לדוגמה, אפליקציות לשליחויות או לוגיסטיקה יכולות להטמיע את ה-API של מערכת המפות של גוגל, וכך הן לא צריכות לפתח מערכת מפות משלהן מההתחלה.
כאשר מבצעים חיפוש באתר טיסות מוזלות למשל, האתר מתחבר אל ממשקי ה-API של חברות התעופה השונות ובודק את המלאי והמחירים במאגרי המידע שלהן. לפי דוח שפרסמה חברת אקאמי ב-2019, כ-83% מכלל התעבורה ברשת עובר דרך ממשקי API. חברת המחקר גרטנר העריכה כי ניצול לרעה של ממשקי API יהפוך לווקטור ההתקפה הפופולרי ביותר במקרים של חשיפות מידע באפליקציות אינטרנטיות עד 2022.
נו ניים סקיוריטי היא לא הסטארט-אפ הישראלי היחיד הפועל בתחום החם. בחודש שעבר הודיע הסטארט-אפ סולט סקיוריטי (Salt security), שחקן ותיק יותר בתחום שהוקם ב-2016, על גיוס 70 מיליון דולר בהובלת קרן הפרייבט אקוויטי Advent International. מאז הקמתה גייסה סולט 131 מיליון דולר.
קשר ישראלי נוסף לתחום הוא חברת אימפרבה, שהוקמה בישראל ומפעילה בארץ שני מרכזי פיתוח. במאי הודיעה אימפרבה על רכישת חברת אבטחת ה-API האמריקאית CloudVector בסכום לא ידוע. גם ענקית הסייבר פאלו אלטו נטוורקס, שהקים הישראלי ניר צוק בארה"ב, פעילה בתחום של הגנת API וההערכות הן שענקיות נוספות כמו קראוד סטרייק, סיסקו ו-VMware יכנסו אליו בעתיד.
פתרון לעידן פוסט-קורונה
"כשאתה מסתכל על חברות גדולות כמו פאלו אלטו או אימפרבה, הן מציעות פתרון API מאוד בסיסי והעולם הזה הוא שוק צדדי עבורן", טוען עוז גולן מנו ניים סקיורוטי. "הפתרון שלנו גם יותר מתאים לצרכים של עידן פוסט-קורונה מאשר זה של סטארט-אפים שנבנו לפני 5-6 שנים מבחינת התמודדות עם הארכיטקטורה החדשה של ארגונים, שפועלים בסביבות מרובות עננים (מולטי-קלאוד)".
לדברי גולן, נו ניים סקיוריטי מציעה הן פתרון פרואקטיבי והן פתרון ריאקטיבי לאבטחת ממשקי API. "אנחנו מנטרים את התקשורת ומתריעים בפני ארגונים על בעיות בקונפיגורציה. במקביל אנחנו גם מזהים התנהגויות שחורגות מהנורמה ועוזרים לחסום ולהתמודד עם תוקפים. כיום אנחנו הפתרון היחיד שמשלב את שני הצדדים האלו", הוא אומר.
בגיוס של נו ניים סקיורוטי השתתפו גם הקרנות Next47, ForgePoint ו-TSG, לצד המשקיעים הקיימים - קרן סייברסטארטס של גילי רענן, המלווה את החברה מראשית דרכה, ולייטספיד.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.