خرق بيانات أوبر: كيفية منع تطبيقك من مثل هذه الحوادث

نشرت: 2017-11-28

في عام 2016 ، خسرت شركة Uber 57 مليون مستخدم وسائق معلومات للمتسللين ، ودفعوا بعد ذلك 1،00،000 دولار لحذف البيانات.

ظهر الحادث في الصورة قبل أيام قليلة عندما قام رئيسهم التنفيذي دارا خسروشاهي بنشر منشور يلقي الضوء على خرق البيانات . ومنذ ذلك الحين ، أصبحت قضية أمان التطبيق في دائرة الضوء.

ليست أوبر هي الحالة الأولى لخرق البيانات ، فهناك عدد من المرات التي يتم فيها اختراق البيانات الشخصية للمستخدمين: حدث جعل الناس حذرين من استخدام تطبيقات الأجهزة المحمولة التي تطلب معلوماتهم.

إليك صورة مرئية لإظهار موقف مستخدمي تطبيقات الأجهزة المحمولة في ضوء مخاوف أمان التطبيقات -

مخاوف تتعلق بأمان التطبيق

انظر كيف شنيع هو؟

ولكن ، يمكنك منع تطبيقك من أن يصبح دراسة الحالة التالية التي تحذر العلامات التجارية من تفعيل لعبة أمان التطبيقات الخاصة بهم.

إليك الطريقة -

1. حماية التطبيق الخاص بك من الصفر

يوجد عدد من الثغرات الأمنية في الكود المصدري للتطبيق ، لكن غالبية شركات التطبيقات تركز فقط على جزء الشبكة مع التركيز على تنفيذ أفضل ممارسات أمان تطبيقات الأجهزة المحمولة . هناك العديد من الأماكن التي يمكن أن تكون أساسًا لانتهاكات البيانات - خطأ في الترميز واختبار الكود وما إلى ذلك.

إليك الأشياء التي يمكنك القيام بها لحماية تطبيقك من يوم وجوده -

  • حماية رمز التطبيق الخاص بك مع التشفير. هناك طريقتان للقيام بذلك - التصغير والتعتيم ، لكنهما ليسا كافيين. يُنصح بالتمسك باستخدام algos المدعومة جيدًا والتي يتم دمجها مع تشفير API.
  • قم بتشغيل فحص كود المصدر على أكوادك بشكل متكرر

علامة الرمز الآمن هي أنه يظل آمنًا حتى بعد نقله بين أنظمة التشغيل والأجهزة. يساعد إنشاء رمز رشيق في هذه الجبهة بشكل كبير.

2. تأمين اتصال الشبكة من الخلفية

طويل

تحتاج الخوادم السحابية التي يتم الوصول إليها من خلال واجهة برمجة التطبيقات لتطبيقك إلى إجراءات أمنية مناسبة لمنع الوصول غير المصرح به وحماية بيانات المستخدمين. يجب أن يتم التحقق من واجهة برمجة التطبيقات بحيث لا تنتقل أي معلومات حساسة من العميل إلى قاعدة بيانات التطبيق أو الخادم.

لإنجاح هذه الخطوة ، من الضروري أن تكون عملية تطوير الواجهة الخلفية قوية .

فيما يلي كيفية تأمين اتصال الشبكة

  • إنشاء حاويات مشفرة لتخزين المستندات والبيانات
  • قم بإجراء سلسلة من تقييمات نقاط الضعف واختبار الاختراق لشبكتك للتأكد من حماية البيانات.
  • تشفير قاعدة البيانات والاتصالات مع SSL و VPN و TLS لمزيد من الأمان
  • تطبيق الاتحاد - المقياس ، الذي ينشر الموارد عبر الخوادم بحيث لا تكون جميعها في مكان واحد ، مع فصل الموارد الرئيسية عن المستخدمين.

3. أن يكون لديك عملية المصادقة وتحديد الهوية والترخيص في المكان

إليك كيفية تحديد تطبيقك ومصادقته ومرخص له

  • تأكد من أن واجهات برمجة التطبيقات (API) التي يستخدمها تطبيقك هي فقط تلك المطلوبة للعمل ومنح حق الوصول فقط إلى الأجزاء التي يتم التركيز عليها ، بدلاً من جميع وظائف التطبيق.
  • هناك عدد من الأدوات والبروتوكولات التي يمكنك الاستفادة منها والتأكد من اتباعها عندما يكون تطبيقك في مرحلة التطوير. ها هم -
    • JSON Web Token - تُستخدم الأداة خفيفة الوزن لتشفير تبادل البيانات ، كما أن تنفيذها بلا ضجة يجعلها مثالية لتطبيقات الأجهزة المحمولة.
    • OpenID Connect - هو بروتوكول يسمح للمستخدمين بإعادة استخدام بيانات الاعتماد الخاصة بهم عبر مجالات مختلفة بمساعدة رمز معرف ، لتوفير وقتهم في التسجيل والاشتراك بنفس المعلومات في كل مرة.
    • OAuth2 - يتم استخدام البروتوكول لإدارة الاتصال الآمن من خلال رمز مميز خاص بالمستخدم لمرة واحدة. عند تثبيت إطار العمل في خادم التفويض ، سيتيح لك منح المستخدمين الإذن بين المستخدمين النهائيين والعميل من خلال جمع بيانات الاعتماد مثل أسئلة الرسائل القصيرة ثنائية العوامل.

4. قم بإجراء مجموعة شاملة من الاختبارات

على عكس تطبيق الويب ، يتم حفظ غالبية بيانات تطبيقات الأجهزة المحمولة محليًا ، ومع وجود البيانات على جهاز يختلف عرض النطاق الترددي والأداء والجودة ، فإن خطر تعرضه للاختراق يكون أكبر بكثير.
 إلى جانب عامل عدم الاستقرار في الأجهزة ، هناك أيضًا بعض التطبيقات التي تميل إلى إصدار البيانات دون أن يعرفها المستخدمون ، مثل الجنس والعمر واستخدام الجهاز وما إلى ذلك.

الطرق التي يمكنك من خلالها ضمان أمان بيانات العميل على التطبيق -

  • بمساعدة تشفير مستوى الملف ، يمكنك حماية البيانات على أساس كل ملف على حدة. إنها إحدى طرق تشفير البيانات غير النشطة بحيث لا تتم قراءتها عند اعتراضها.
  • تضمن أدوات مثل منصة Appcelator أن بيانات الجوال المخزنة محليًا آمنة.

يجب أن تكون الإدارة الرئيسية من أولوياتك. أساس الخوارزمية القوية هو شهادتها ومفاتيحها الأقوى.

5. استراتيجية أمان API المخططة

نظرًا لأن تطوير الأجهزة المحمولة مترابط بإحكام مع واجهات برمجة التطبيقات ، فإن جزءًا كبيرًا من جعل التطبيق آمنًا يعتمد على جعل واجهة برمجة التطبيقات الخاصة به آمنة. تنقل واجهات برمجة التطبيقات البيانات بين التطبيقات والسحابة وبين عدد من المستخدمين. يجب تحديد جميع الأطراف المعنية وترخيصها من أجل رؤية البيانات واستخدامها. تعد واجهات برمجة التطبيقات حجر الأساس للوظائف والمحتوى والبيانات ، لذا فإن ضمان تأمينها يمكن أن يأخذك شوطًا طويلاً.

api

هناك ثلاث مراحل في API ستحتاج إلى الاهتمام بها ، وهي تحديد الهوية والمصادقة والتفويض.

دعونا نلقي نظرة على عناصر الثلاثة أدناه -

هوية

الجزء الأول من العملية ، يمكن منع اختراق تحديد الهوية من خلال تنفيذ مفاتيح API. هذه المفاتيح هي معرّفات عشوائية وفريدة من نوعها تقضي على الحاجة إلى كلمات المرور.
بينما يمكنك الحماية عند مشاهدة البيانات باستخدام مفاتيح واجهة برمجة التطبيقات ، لا يمكنك أن تقرر أن شخصًا ما كان من المفترض أن يراها هو رؤيتها.

المصادقة

إنها العملية التي تضمن رؤية المعلومات من قبل شخص كان من المفترض أن يطلع عليها. في هذه المرحلة ، تقوم بتعيين أسماء المستخدمين وكلمات المرور لضمان حصول النظام على مستوى إضافي من الأمان.

تفويض

تجيب هذه الخطوة على السؤال - ماذا يمكن للمرء أن يفعل بواجهة برمجة التطبيقات. تتضمن خطوات تأمين هذه العملية المصادقة الثنائية ، والرموز المميزة ، وكلمات المرور لمرة واحدة.

6. اختبر التطبيق

بغض النظر عما إذا كان تطبيقك مختلطًا أو أصليًا أو تطبيق ويب ، يجب اختباره ليس فقط من ناحية قابلية الاستخدام والوظائف ولكن أيضًا من الأمان. هناك عدد من الخطوات التي يجب عليك اتباعها للتأكد من أن تطبيقك مضمون الجودة لضمان أمانه.

 فيما يلي الطرق التي يمكنك من خلالها التأكد من اختبار تطبيقك للأمان -

  • اختبار الاختراق - يعني فحص الشبكة والنظام للعثور على نقاط الضعف.
  • استخدم المحاكيات لاختبار كيفية أداء التطبيق في بيئة محاكاة.
  • اختبر التفويض والمصادقة وإدارة الجلسة وأمن البيانات بالتفصيل.

كانت هذه هي الطرق الست التي يمكنك استخدامها في عملية تطوير تطبيقك للتأكد من أن طريقتك ليست في دائرة الضوء.

تأكد من أنك تدمج جيدًا في الوقت المناسب ، بينما لديك الوقت.