OWASP OFFAT (OFFensive Api Tester) se creó para probar automáticamente una API en busca de vulnerabilidades comunes. Las pruebas se pueden generar a partir del archivo JSON de especificación de OpenAPI.

Imagina que tienes una tienda online y deseas proponer un descuento especial a cualquier usuario que abra tu email durante las primeras 24 horas. La primera opción es la manual, es decir, comprobar las estadísticas de los emails regularmente y enviar el código de descuento a quienes hayan abierto tu mensaje. No suena muy rápido, ¿verdad? La segunda opción es automatizarlo con webhooks, que enviarán el descuento a cualquiera que abra tu email.

Un grupo de investigadores de seguridad descubrió fallas críticas en el portal de concesionarios de Kia que podrían permitir a los delincuentes informáticos localizar y robar millones de automóviles Kia fabricados después de 2013 utilizando solo la matrícula del vehículo objetivo.

El actor de amenazas detrás de la reciente filtración de datos de Dell reveló que extrajeron información de 49 millones de registros de clientes utilizando una API de portal de socios a la que accedieron como una empresa falsa.

 Según los expertos en ciberseguridad de GitGuardian, usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos confidenciales y de autenticación en más de 3 millones de repositorios públicos durante 2023, y la gran mayoría sigue siendo válida después de cinco días.

La popular plataforma de gestión de proyectos, Trello, ha experimentado una violación que expuso los datos personales de 15 millones de usuarios. Según los informes, la información confidencial, incluidos nombres y correos electrónicos, se recopiló mediante scraping y ahora se vende en la Dark Web. Atlassian, la empresa matriz de Trello, afirma que ha tomado medidas importantes para evitar que se repitan estos ataques de scraping ajustando la API principal. Sin embargo, algunos expertos sugieren que Atlassian podría estar restando importancia a su papel en el incidente.

El ransomware funciona revisando los archivos, uno por uno, y reemplazando su contenido con una versión cifrada (a veces también envía copias a otros lugares, pero eso resulta ser lento y, a veces, activa las alarmas). Windows usa una API llamada "CreateFile()" para acceder a los archivos. De forma un tanto confusa, CreateFile no solo crea archivos, sino que también es la forma principal de abrirlos.

La interfaz de programación de aplicaciones (API) es un héroe olvidado de la revolución digital. Es el pegamento que une diversos componentes de software para crear nuevas experiencias de usuario. Pero al proporcionar una vía directa a las bases de datos back-end, las APIs también son un objetivo atractivo para los ciberdelincuentes. No ayuda el hecho de que su número se haya disparado en los últimos años, lo que ha provocado que muchos despliegues no estén documentados ni protegidos.

El navegador Edge de Microsoft parece estar enviando las URL que visitas a su sitio web API de Bing. Los usuarios de Reddit detectaron por primera vez los problemas de privacidad con Edge la semana pasada y notaron que la última versión de Microsoft Edge envía una solicitud a bingapis.com con la URL completa de casi todas las páginas a las que navega. Microsoft  dice que está investigando los informes.

 El gigante del marketing por correo electrónico Mailchimp ha confirmado una violación de datos después de que piratas informáticos malintencionados comprometieran una herramienta interna de la empresa para obtener acceso a las cuentas de los clientes.

 En septiembre de 2020 Microsoft anunció que DirectStorage, uno de los sistemas clave de Xbox Velocity Architecture de Xbox Series, estaría disponible en Windows PC. Ha costado un poco, pero finalmente la compañía cumple su promesa y la API de DirectStorage ya se encuentra al alcance de cualquier desarrollador interesado en que su juego use esta interfaz.

 Un equipo de investigadores de Francia, Israel y Australia ha desarrollado una nueva técnica que permite identificar a usuarios individuales según la firma específica y única de su tarjeta gráfica. Si bien es una prueba de concepto, sirve como advertencia, ya que las páginas webs o los actores malintencionados podrían rastrear y recopilar datos sobre las actividades en línea de los usuarios individuales en tiempo real.

Reportan la detección de una nueva "técnica" para recopilar credenciales de usuarios robadas abusando de las características de la reconocida plataforma para el análisis de URLs y archivos potencialmente maliciosos VirusTotal, actualmente en propiedad de Google. Los investigadores de SafeBreach usaron una licencia de VirusTotal para acceder a su API, para demostrar su ataque, logrando recopilar más de un millón de credenciales de acceso. Similar Google Hacking, pues ahora existe en VirusTotal Hacking, usando dorks pudieron encontraron muchísima información.

 Google Chrome es el navegador web más usado en el mundo. Ahora, la nueva versión de Chrome 97 que se lanza hoy incluye un cambio muy polémico. A partir de Chrome 97, Google integrará una API llamada Keyboard Map. Esta API no podía ser usada en el pasado por algunas páginas web debido a que no se podía usar dentro de iframes. 

 Microsoft y Google han anunciado que trabajan conjuntamente en el desarrollo de una nueva API denominada "Picking Clipboard", con la que buscan mejorar** la funcionalidad del Portapapeles de Windows 11** a la hora de usarlo para interactuar con sus respectivos navegadores web, Microsoft Edge y Google Chrome.

Mozilla bloquea los complementos maliciosos de Firefox instalados por aproximadamente 455.000 usuarios después de descubrir a principios de junio que estaban abusando de la API del  proxy  para bloquear las actualizaciones de Firefox.

Chrome 94 incorpora diversas novedades, entre ellas Idle Detection API o API de detección de la inactividad, una nueva interfaz. Esta API se encargará de transmitir si el usuario está inactivo, entendiendo por inactividad que haya dejado de interactuar con el dispositivo que está utilizando, con el teclado y el ratón, así como que se hayan ejecutado eventos del sistema tales como el protector o bloqueo de la pantalla.

TeleMadrid informaba la noticia de que una brecha de seguridad dejaba expuestos los datos de miles de usuarios por un fallo de programación en el servicio de autocita de la sanidad madrileña. Entre los datos expuestos, sabiendo previamente el DNI, podemos encontrar nombre, apellidos, teléfono, domicilio, número de la seguridad social o vacuna administrada (este último requería múltiples consultas). Entre los afectados podemos destacar al actual presidente o al actual jefe de estado así como muchas otras figuras de la primera línea política del país.

Una segunda violación masiva de LinkedIn expone los datos de 700 millones de usuarios, que es más del 92% del total de 756 millones de usuarios. La base de datos está a la venta en el infame foro de RaidForums con registros que incluyen números de teléfono, direcciones físicas, datos de geolocalización y salarios inferidos. De nuevo no se trata de un hackeo, sinó de un scraping (rastreo) usando una API de LinkedIN.