การละเมิดข้อมูล Uber: วิธีป้องกันแอปของคุณจากเหตุการณ์เช่นนี้

ในปี 2559 Uber สูญเสียข้อมูลผู้ใช้และคนขับ 57 ล้านคนให้กับแฮกเกอร์ ซึ่งพวกเขาจ่ายเงิน 1,00,000 ดอลลาร์เพื่อลบข้อมูล

เหตุการณ์ดังกล่าวเกิดขึ้นในภาพเมื่อไม่กี่วันก่อน เมื่อ Dara Khosrowshahi CEO ของพวกเขาโพสต์ข้อความเกี่ยวกับการละเมิด ข้อมูล และตั้งแต่นั้นมา ประเด็นเรื่องความปลอดภัยของแอพก็กลายเป็นประเด็นสำคัญ

Uber ไม่ใช่กรณีแรกของการละเมิดข้อมูล มีหลายครั้งที่ข้อมูลส่วนบุคคลของผู้ใช้ถูกบุกรุก: เหตุการณ์ที่ทำให้ผู้คนระมัดระวังในการใช้แอพมือถือที่ขอข้อมูลของพวกเขา

นี่คือภาพที่แสดงจุดยืนของผู้ใช้แอพมือถือในแง่ของข้อกังวลด้านความปลอดภัยของแอพ –

เห็นมั้ยว่าน่าร๊ากขนาดไหน?

แต่คุณสามารถป้องกันไม่ให้แอปของคุณกลายเป็นกรณีศึกษาถัดไปที่เตือนแบรนด์ต่างๆ ให้นำเกมการรักษาความปลอดภัยของแอปตรงประเด็น

นี่คือวิธี-

1. ปกป้องแอปของคุณจากรอยขีดข่วน

มีช่องโหว่จำนวนหนึ่งอยู่ในซอร์สโค้ดของแอป แต่บริษัทแอปส่วนใหญ่เน้นที่ส่วนเครือข่ายเท่านั้น โดยเน้นที่การนำ แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของแอปบนอุปกรณ์เคลื่อนที่ ไป ใช้ มีสถานที่มากมายที่สามารถเป็นรากฐานของการละเมิดข้อมูลได้ เช่น ข้อผิดพลาดในการเขียนโค้ด การทดสอบโค้ด ฯลฯ

นี่คือสิ่งที่คุณสามารถทำได้เพื่อปกป้องแอปของคุณจากวันที่มีอยู่ -

• ปกป้องรหัสของแอปของคุณด้วยการเข้ารหัส มีสองวิธีที่จะทำ - ย่อให้เล็กสุดและทำให้งงงวย แต่ยังไม่เพียงพอ ขอแนะนำให้ใช้ algos ที่ได้รับการสนับสนุนอย่างดีซึ่งรวมเข้ากับการเข้ารหัส API
• เรียกใช้การสแกนซอร์สโค้ดบนโค้ดของคุณบ่อยๆ

เครื่องหมายของรหัสความปลอดภัยคือรหัสยังคงปลอดภัยแม้หลังจากย้ายระหว่างระบบปฏิบัติการและอุปกรณ์แล้ว การสร้างรหัสที่คล่องตัวช่วยในด้านนี้อย่างมาก

2. รักษาความปลอดภัยการเชื่อมต่อเครือข่ายจากแบ็กเอนด์

เซิร์ฟเวอร์คลาวด์ที่ API ของแอปเข้าถึงต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและปกป้องข้อมูลของผู้ใช้ การตรวจสอบ API ควรอยู่ในตำแหน่งที่ไม่มีข้อมูลที่ละเอียดอ่อนส่งผ่านจากไคลเอนต์ไปยังฐานข้อมูลแอพหรือเซิร์ฟเวอร์

เพื่อให้ขั้นตอนนี้ประสบความสำเร็จ จำเป็นที่ กระบวนการพัฒนาแบ็กเอนด์ของคุณต้อง แข็งแกร่ง

วิธีรักษาความปลอดภัยการเชื่อมต่อเครือข่าย

• สร้างคอนเทนเนอร์เข้ารหัสสำหรับจัดเก็บเอกสารและข้อมูล
• ดำเนินการชุดการประเมินช่องโหว่และการทดสอบการเจาะระบบเครือข่ายของคุณเพื่อให้แน่ใจว่าข้อมูลได้รับการปกป้อง
• เข้ารหัสฐานข้อมูลและการเชื่อมต่อด้วย SSL, VPN และ TLS เพื่อเพิ่มความปลอดภัย
• ใช้การรวมกลุ่ม – การวัดซึ่งกระจายทรัพยากรทั่วทั้งเซิร์ฟเวอร์เพื่อไม่ให้รวมอยู่ในที่เดียว ในขณะที่แยกทรัพยากรหลักออกจากผู้ใช้

3. มีกระบวนการตรวจสอบ ระบุ และอนุญาตในสถานที่

วิธีทำให้แอปของคุณถูกระบุ รับรองความถูกต้อง และอนุญาตมีดังนี้

• ตรวจสอบให้แน่ใจว่า API ที่แอปของคุณใช้เป็นเพียง API ที่จำเป็นในการทำงานและให้สิทธิ์เข้าถึงเฉพาะส่วนที่อยู่ในโฟกัส แทนที่จะเป็นฟังก์ชันทั้งหมดของแอป
• มีเครื่องมือและโปรโตคอลมากมายที่คุณสามารถใช้ได้ และอย่าลืมปฏิบัติตามเมื่อแอปของคุณอยู่ในขั้นตอนการพัฒนา พวกเขาอยู่ที่นี่ -
  • JSON Web Token – เครื่องมือน้ำหนักเบาใช้สำหรับเข้ารหัสการแลกเปลี่ยนข้อมูล การใช้งานที่ไม่ยุ่งยากทำให้เหมาะสำหรับแอปบนอุปกรณ์เคลื่อนที่
  • OpenID Connect – เป็นโปรโตคอลที่อนุญาตให้ผู้ใช้ใช้ข้อมูลประจำตัวของตนซ้ำในโดเมนต่างๆ ด้วยความช่วยเหลือของโทเค็น ID เพื่อประหยัดเวลาในการลงทะเบียนและลงทะเบียนด้วยข้อมูลเดียวกันทุกครั้ง
  • OAuth2 – โปรโตคอลนี้ใช้เพื่อจัดการการเชื่อมต่อที่ปลอดภัยผ่านโทเค็นเฉพาะของผู้ใช้เพียงครั้งเดียว เมื่อติดตั้งเฟรมเวิร์กในเซิร์ฟเวอร์การให้สิทธิ์ คุณจะให้สิทธิ์แก่ผู้ใช้ระหว่างผู้ใช้และไคลเอ็นต์โดยรวบรวมข้อมูลประจำตัว เช่น คำถาม SMS 2 ปัจจัย

4. ทำชุดทดสอบที่ครอบคลุม

ข้อมูลแอปบนอุปกรณ์เคลื่อนที่ส่วนใหญ่ต่างจากเว็บแอป และเนื่องจากข้อมูลอยู่ในอุปกรณ์ที่แบนด์วิดท์ ประสิทธิภาพ และคุณภาพแตกต่างกันไป ความเสี่ยงที่จะถูกแฮ็กจึงมีมากกว่ามาก
นอกจากปัจจัยความไม่เสถียรในอุปกรณ์แล้ว ยังมีแอปบางแอปที่มักจะเผยแพร่ข้อมูลโดยที่ผู้ใช้ไม่ทราบ เช่น เพศ อายุ การใช้อุปกรณ์ เป็นต้น

วิธีที่คุณสามารถมั่นใจได้ว่าข้อมูลลูกค้าจะปลอดภัยในแอป -

• ด้วยความช่วยเหลือของการเข้ารหัสระดับไฟล์ คุณสามารถปกป้องข้อมูลได้ทีละไฟล์ เป็นวิธีหนึ่งในการเข้ารหัสข้อมูลที่พักผ่อนเพื่อไม่ให้อ่านเมื่อถูกสกัดกั้น
• เครื่องมือเช่นแพลตฟอร์ม Appcelator ช่วยให้มั่นใจได้ว่าข้อมูลมือถือที่จัดเก็บไว้ในเครื่องนั้นปลอดภัย

การจัดการคีย์ควรเป็นสิ่งที่คุณให้ความสำคัญ พื้นฐานของอัลกอริทึมที่แข็งแกร่งคือใบรับรองและคีย์ที่แข็งแกร่งพอๆ กัน

5. กลยุทธ์การรักษาความปลอดภัย API ที่วางแผนไว้

เนื่องจากการพัฒนาอุปกรณ์เคลื่อนที่มีความเชื่อมโยงอย่างแน่นแฟ้นกับ API ส่วนสำคัญในการสร้างแอปมีความปลอดภัยจึงขึ้นอยู่กับการทำให้ API ของแอปมีความปลอดภัย API ส่งข้อมูลระหว่างแอปพลิเคชัน คลาวด์ และระหว่างผู้ใช้จำนวนหนึ่ง จำเป็นต้องระบุและอนุญาตทุกฝ่ายที่เกี่ยวข้องเพื่อดูและใช้ข้อมูล API เป็นรากฐานที่สำคัญของการทำงาน เนื้อหา และข้อมูล ดังนั้นการทำให้แน่ใจว่ามีความปลอดภัยสามารถใช้เวลานาน

มีสามขั้นตอนใน API ที่คุณจะต้องดูแล นั่นคือ – การระบุ การรับรองความถูกต้อง และการอนุญาต

ลองดูที่องค์ประกอบของทั้งสามด้านล่าง –

บัตรประจำตัว

ส่วนแรกของกระบวนการ สามารถป้องกันการแฮ็กการระบุตัวตนได้โดยใช้คีย์ API คีย์เหล่านี้เป็นตัวระบุแบบสุ่มและไม่ซ้ำกัน ซึ่งไม่จำเป็นต้องใช้รหัสผ่าน
แม้ว่าคุณจะสามารถป้องกันได้เมื่อข้อมูลถูกดูโดยใช้คีย์ API คุณไม่สามารถตัดสินใจได้ว่ามีคนที่ควรเห็นข้อมูลนั้นเห็นข้อมูลนั้น

การตรวจสอบสิทธิ์

เป็นกระบวนการที่รับประกันว่าข้อมูลจะถูกมองเห็นโดยบุคคลที่ตั้งใจจะดูข้อมูลนั้น ในขั้นตอนนี้ คุณตั้งค่าชื่อผู้ใช้และรหัสผ่านเพื่อให้แน่ใจว่าระบบได้รับการรักษาความปลอดภัยในระดับพิเศษ

การอนุญาต

ขั้นตอนนี้ตอบคำถาม – เราทำอะไรกับ API ได้บ้าง ขั้นตอนในการรักษาความปลอดภัยให้กับกระบวนการนี้ประกอบด้วยการอนุญาต 2 ปัจจัย โทเค็น และรหัสผ่านแบบใช้ครั้งเดียว

6. ทดสอบแอพ

ไม่ว่าแอปของคุณจะเป็นแบบไฮบริด เนทีฟ หรือเว็บแอป แอปควรได้รับการทดสอบไม่ใช่แค่จากด้านการใช้งานและฟังก์ชันการทำงานเท่านั้น แต่ยังรวมถึงจากความปลอดภัยด้วย มีหลายขั้นตอนที่คุณต้องปฏิบัติตามเพื่อ ให้แน่ใจว่าแอปของคุณได้รับการประกันคุณภาพ เพื่อให้แน่ใจว่าปลอดภัย

ต่อไปนี้คือวิธีที่คุณสามารถมั่นใจได้ว่าแอปของคุณได้รับการทดสอบความปลอดภัย -

• การทดสอบการเจาะระบบ – หมายถึงการตรวจสอบเครือข่ายและระบบเพื่อค้นหาจุดอ่อน
• ใช้อีมูเลเตอร์เพื่อทดสอบว่าแอปทำงานอย่างไรในสภาพแวดล้อมจำลอง
• ทดสอบการอนุญาตและการรับรองความถูกต้อง การจัดการเซสชัน และปัญหาด้านความปลอดภัยของข้อมูลโดยละเอียด

ดังนั้นนี่คือ 6 วิธีที่คุณสามารถใช้ในกระบวนการพัฒนาแอพของคุณ เพื่อให้แน่ใจว่าของคุณจะไม่อยู่ในไฟแก็ซ

ตรวจสอบให้แน่ใจว่าคุณรวมเข้ากับเวลาได้ดีในขณะที่คุณมีเวลา