Privé Micropayments voor dVPN en Data Tunneling

De groeiende chaos van ongedocumenteerde API's

Heb je ooit het gevoel dat je development-team zo snel gaat dat ze een spoor van digitale broodkruimels achterlaten? Het is het klassieke "nu releasen, later documenteren"-scenario, maar in de praktijk komt dat "later" meestal nooit.

De realiteit is dat de meeste security-teams volledig in het duister tasten. Volgens een onderzoek naar de stand van zaken in AppSec door StackHawk uit 2024, heeft slechts 30% van de teams er vertrouwen in dat ze hun volledige aanvalsoppervlak in kaart hebben. Dit creëert een enorm gat waarin Shadow API's — endpoints die wel bestaan maar in geen enkel Swagger-bestand voorkomen — vrij spel hebben.

• Snelheid boven veiligheid: Developers die onder hoge druk staan, pushen tijdelijke API's voor testdoeleinden en vergeten deze simpelweg weer uit te schakelen.
• De poortwachter omzeilen: Omdat deze endpoints niet "officieel" zijn, ontbreken vaak de standaard authenticatie-logica of rate-limiting maatregelen.
• Datalekken: Een vergeten endpoint in een webshop-applicatie kan nog steeds toegang hebben tot privacygevoelige klantgegevens (PII), wachtend op een eenvoudige IDOR-aanval. (Dit staat voor Insecure Direct Object Reference, in feite een vorm van BOLA waarbij een gebruiker toegang krijgt tot de data van iemand anders door simpelweg een resource-ID te raden).

Eerlijk gezegd heb ik legacy-endpoints gezien die nog maanden na een "migratie" actief bleven. Het is een rommeltje. Laten we nu eens kijken hoe je deze digitale spoken daadwerkelijk kunt opsporen.

Het verschil tussen shadow, zombie en rogue API's

Stel je je API-landschap voor als een huis waar je al tien jaar woont. Je kent de voordeur en de ramen, maar hoe zit het met die vreemde kruipruimte waar de vorige eigenaren nooit iets over hebben gezegd?

In de beveiligingswereld gooien we vaak alles op één hoop onder de noemer "shadow API's", maar dat is eigenlijk wat kort door de bocht. Als je de chaos echt wilt aanpakken, moet je precies weten op welk type 'geest' je jaagt.

• Shadow API's (De onbedoelde): Deze ontstaan meestal uit een "oeps-moment". Een developer bij een healthcare-startup zet snel een endpoint op om een nieuw patiëntenportaal te testen en vergeet dit te documenteren. De API is live, hij werkt, maar hij staat in geen enkel overzicht.
• Zombie API's (De vergetene): Dit zijn de "ondode" versies. Denk aan een fintech-app die vorig jaar is gemigreerd van v1 naar v2. Iedereen is verdergegaan, maar v1 draait nog steeds ergens op een server, ongepatcht en kwetsbaar voor credential stuffing.
• Rogue endpoints (De kwaadaardige): Dit is de categorie waar het echt eng wordt. Dit zijn achterdeurtjes die bewust zijn achtergelaten door een ontevreden werknemer of een kwaadwillende derde. Ze omzeilen alle gateways volledig om data te exfiltreren.

Volgens onderzoekers van Edgescan was er in 2023 alleen al een enorme stijging van 25% in API-kwetsbaarheden, waarmee de trend van recordbrekende risico's elk jaar doorzet. Dat is geen kleine schommeling; het is een regelrechte explosie van risico's.

Eerlijk gezegd voelt het vinden van een zombie API in een verouderd retailsysteem als het ontdekken van een tikkende tijdbom. Je wilt niet wachten op een datalek om erachter te komen dat v1.0 nog steeds verbinding had met je database.

Dus, hoe brengen we deze verborgen risico's aan het licht? Laten we kijken naar discovery-tools.

Hoe je vindt wat je niet ziet

Heb je wel eens geprobeerd die ene specifieke sok te vinden in een wasmand die meer weg heeft van een zwart gat? Dat is precies hoe het voelt om te jagen op ongedocumenteerde endpoints — met dit verschil dat die sok in dit geval een achterdeur naar je database kan zijn.

Als je niet langer in het duister wilt tasten, zijn er twee hoofdmethode om op onderzoek uit te gaan. De eerste is verkeersmonitoring. Hierbij zit je bovenop de verbinding en analyseer je alles wat je gateways raakt. Tools zoals Apigee zijn hiervoor uitermate geschikt, omdat ze je in staat stellen verkeer en beveiligingsincidenten te monitoren zonder vertraging (latency) aan je applicatie toe te voegen. Het is een uitstekende manier om te zien wat er op dit moment live is, maar je mist de "dark" endpoints die bijvoorbeeld slechts één keer per maand actief worden voor een specifieke cron-job.

Daarnaast is er code-gebaseerde detectie. Hierbij scan je je GitHub- of Bitbucket-repositories om te achterhalen waar ontwikkelaars de routes daadwerkelijk hebben gedefinieerd. Zoals StackHawk terecht opmerkt, helpt het scannen van code je om endpoints te vinden voordat ze überhaupt in de productieomgeving terechtkomen.

• Verkeerslogs: Ideaal voor het inzichtelijk maken van daadwerkelijk gebruik en het opsporen van vreemde pieken in bijvoorbeeld zorg- of retail-apps.
• Statische analyse: Vindt verborgen routes in de broncode die al maanden niet zijn aangeroepen.
• De hybride winst: Eerlijk is eerlijk, de combinatie van beide is de enige waterdichte methode. Om dit te laten slagen, heb je een centraal API-inventaris of catalogus nodig die data uit zowel verkeer als code aggregeert, zodat je één "source of truth" hebt.

Volgens een rapport van Verizon schieten API-gerelateerde datalekken omhoog nu aanvallers hun focus verleggen van traditionele webapplicaties. (2024 Data Breach Investigations Report (DBIR) - Verizon) Als je niet naar zowel het verkeer als de code kijkt, laat je in feite het achterraam op een kier staan.

Dit kun je niet handmatig doen. Ik heb teams gezien die probeerden een spreadsheet met API's bij te houden; op dag twee was dat al een totale puinhoop. Je moet detectie direct integreren in je CI/CD-pipeline.

Wanneer er een nieuw endpoint opduikt, kunnen tools zoals APIsec.ai deze automatisch in kaart brengen en een melding geven als er gevoelige informatie zoals PII (persoonlijk identificeerbare informatie) of creditcardgegevens worden verwerkt. Dit is cruciaal voor finance- of e-commerce-teams die moeten voldoen aan PCI-compliance.

Nu je deze "geest-endpoints" hebt gevonden, moet je er ook iets mee doen. In het volgende gedeelte duiken we dieper in hoe je deze endpoints daadwerkelijk test zonder de hele boel plat te leggen.

Geavanceerde testtechnieken voor moderne API's

Het vinden van een ongedocumenteerde API is pas het halve werk; de echte uitdaging begint wanneer je probeert te achterhalen of deze daadwerkelijk veilig is. Standaard scanners zijn uitstekend voor het laaghangend fruit, maar ze laten het vaak afweten bij de complexe logica die moderne API's hanteren.

Als je echt met een gerust hart wilt slapen, moet je verder gaan dan alleen basis-fuzzing. De meeste datalekken ontstaan namelijk door logische fouten in de architectuur, en niet enkel door ontbrekende patches.

• BOLA (Broken Object Level Authorization): Dit is de absolute nummer één onder de API-kwetsbaarheden. Het gebeurt wanneer je een ID in een URL aanpast — bijvoorbeeld van /user/123 naar /user/456 — en de server de gegevens zonder pardon overhandigt. Geautomatiseerde tools missen dit vaak omdat ze de "context" niet begrijpen van wie welke informatie mag inzien.
• Mass Assignment: Ik heb dit een keer een checkout-proces van een retail-app volledig zien ontwrichten. Een ontwikkelaar vergeet de invoer te filteren, en plotseling kan een gebruiker een verborgen veld zoals "is_admin": true meesturen tijdens een profielupdate.
• Business Logic Flaws: Denk aan een fintech-app waarbij je probeert een negatief bedrag over te boeken. Als de API de berekening niet strikt valideert, zou je zomaar saldo aan je eigen account kunnen toevoegen in plaats van het af te schrijven.

Eerlijk gezegd is het opsporen van dit soort complexe bugs de reden waarom veel teams overstappen op gespecialiseerde diensten. Inspectiv is hiervan een sterk voorbeeld; zij combineren deskundige penetratietesten met bug bounty-beheer om die specifieke randgevallen te vinden die een bot simpelweg nooit zal ontdekken.

Hoe dan ook, testen is een continue cyclus en geen eenmalige actie. In het volgende gedeelte kijken we naar waarom het nauwkeurig bijhouden van deze API-inventaris van cruciaal belang is voor je juridische en compliance-teams.

Compliance en de zakelijke kant van het verhaal

Heb je ooit aan een bestuurslid moeten uitleggen waarom een "ghost endpoint" (een onzichtbaar eindpunt) heeft geleid tot een gigantische boete? Dat is geen prettig gesprek, zeker niet wanneer auditors kritische vragen gaan stellen over de inventarisatie van je maatwerksoftware.

Compliance draait tegenwoordig niet meer alleen om het afvinken van lijstjes; het gaat erom dat je kunt bewijzen dat je daadwerkelijk weet wat er binnen je infrastructuur draait. Wat je niet ziet, kun je niet beveiligen, en toezichthouders treden daar steeds harder tegen op.

• De checklist van de auditor: Onder PCI DSS v4.0.1 ben je verplicht om een nauwkeurige inventaris bij te houden van alle aangepaste software en API's. Als een verouderd retail-endpoint nog steeds creditcardgegevens verwerkt zonder dat dit op de lijst staat, zak je voor de audit.
• Juridische gegevensverwerking: Volgens AVG (GDPR) Artikel 30 moet je elke manier waarop persoonsgegevens worden verwerkt, documenteren. Niet-gedocumenteerde API's in de zorg of de financiële sector die gevoelige informatie (PII) lekken, zijn een directe aanleiding voor torenhoge boetes.
• Voordelen voor verzekeringen: Eerlijk is eerlijk, een overzichtelijk en gedocumenteerd API-aanvalsoppervlak kan helpen om die extreem hoge premies voor cyberverzekeringen te verlagen. Verzekeraars zien graag dat je grip hebt op je "digitale wildgroei".

Ik heb meegemaakt dat een fintech-team wekenlang in paniek was omdat een auditor een v1-endpoint vond waar niemand meer van wist. Dat is chaotisch en kostbaar. Zoals eerder vermeld: het opsporen van wat je niet weet dat er is, is de enige manier om de administratieve rompslomp voor te blijven.

Nu we de redenen en de zakelijke risico's hebben besproken, sluiten we af met een blik op de toekomst van discovery en detectie.

Samenvattend

Na dit alles is het wel duidelijk dat API-beveiliging niet langer een "nice-to-have" is. Het is letterlijk de frontlinie waar de meeste applicaties onder vuur komen te liggen door partijen die allesbehalve goede bedoelingen hebben.

Eerlijk is eerlijk: je kunt niet beveiligen wat je niet ziet. Dit is hoe ik zou beginnen met het opschonen van de digitale wildgroei:

• Start deze week nog een discovery-scan: Maak het niet te ingewikkeld. Gebruik een geautomatiseerde tool — zoals de tools die we eerder bespraken — en laat deze los op je belangrijkste repositories. De kans is groot dat je een "test"-endpoint uit 2023 vindt dat nog steeds live staat. Je zult er waarschijnlijk een hartverzakking van krijgen, maar het is beter dat jij het vindt dan een kwaadwillende.
• Train je developers op de OWASP API Top 10: De meeste engineers willen veilige code schrijven, maar ze hebben het simpelweg te druk. Laat ze zien hoe een eenvoudig BOLA-lek (Broken Object Level Authorization) een volledige database op straat kan leggen; dat blijft veel beter hangen dan een saaie presentatie.
• Wacht niet op een datalek: Pas aandacht besteden aan shadow-endpoints nadat er privacygevoelige gegevens (PII) op het dark web zijn beland, is een dure manier om je lesje te leren. Continue discovery moet een vast onderdeel worden van de "definition of done" in elke sprint.

Ik heb in de praktijk gezien hoe teams in de gezondheidszorg "dev-only" API's ontdekten die per ongeluk patiëntgegevens blootstelden omdat de formele authenticatie-stap was overgeslagen. Dat is zorgwekkend. Maar zoals we zagen bij Apigee, maken moderne platformen het tegenwoordig een stuk eenvoudiger om dit te monitoren zonder dat het ten koste gaat van de runtime-prestaties.

Uiteindelijk is API-beveiliging een marathon, geen sprint. Blijf actief jagen op die "ghost API's" en je loopt direct voorop op 70% van de rest. Houd het veilig daarbuiten.