Echtzeit-Validierungs-APIs: So verhindern Sie Diebstahl im neuen Jahr

Wenn es darum geht, zu verhindern, dass schlechte Daten in Ihr CRM gelangen, kann die Echtzeit-Validierung einen großen Unterschied machen. Aber wussten Sie, dass dies auch Ihr Unternehmen gefährden kann?

Diebstahl ist ein häufiges Problem bei Echtzeit-Validierungs-APIs. Wenn Sie Ihr Unternehmen auf den Umgang mit Diebstahl vorbereiten, können Sie Ihre Daten schützen, Geld sparen und zukünftige Angriffe verhindern.

Während Sie sich in dieser Weihnachtszeit darauf konzentriert haben, Ihre Mailingliste zu erweitern und den Umsatz zu maximieren, besteht die Möglichkeit, dass Sie Ihr Unternehmen anfällig für Diebstahl gemacht haben.

Lassen Sie uns tiefer in Echtzeit-Validierungs-APIs eintauchen, die Herausforderungen, die sie darstellen, und Schritte, die Sie unternehmen können, um Ihr Unternehmen im neuen Jahr zu schützen.

Was ist Echtzeit-Validierung?

Angenommen, ein Kunde klickt auf einen der CTAs in Ihrer E-Mail- oder Social-Media-Kampagne. Sie bieten an, 20 Prozent Rabatt auf ihren Einkauf im Austausch für einen monatlichen Newsletter zu erhalten. Klingt nach einem guten Angebot! Also beschließen sie, ihre E-Mail-Adresse zum Anmeldeformular hinzuzufügen.

Außer sie tun es nicht. Sie geben eine zufällige E-Mail-Adresse ein, in der Hoffnung, ihren Teil der Abmachung zu umgehen. Oder vielleicht geben sie ihre echte E-Mail-Adresse ein, hinterlassen aber versehentlich einen Tippfehler. In jedem Fall erhalten sie beim Senden eine sanfte Rückmeldung: „Es sieht so aus, als wäre Ihre E-Mail-Adresse möglicherweise nicht gültig. Kannst du nochmal nachsehen?"

Sie haben gerade dafür gesorgt, dass ein Kunde in gutem Glauben handelt und der andere sich von einem echten Fehler elegant erholt. Das ist Echtzeit-Validierung.

Die Echtzeitvalidierung funktioniert, indem eine Validierungsprüfung (unter Verwendung einer Validierungs-API eines Drittanbieters) für Informationen wie E-Mail-Adressen, Postanschriften und Telefonnummern durchgeführt wird, bevor ein Kunde ein Formular absendet. Dies kann für Newsletter-Anmeldungen, Kaufformulare, Registrierungsformulare oder jede andere Art von Eingaben zur Lead-Generierung erfolgen.

Die Echtzeit-Validierung hält schlechte Informationen aus Ihren Kontaktlisten fern, indem verhindert wird, dass sie überhaupt dort ankommen. Dies ist wichtig, da das routinemäßige Senden an ungültige Adressen Ihrem Ruf bei Postfachanbietern schaden und Zustellprobleme verursachen kann.

Die Herausforderung bei Echtzeit-Validierungs-APIs

Das klingt alles großartig. Aber leider denken auch Hacker so.

Diebstahl ist eines der größten Probleme, mit denen Sie konfrontiert werden, wenn es um Echtzeit-Validierungs-APIs geht. Je nachdem, wie gut Ihr Engineering-Team mit Ressourcen ausgestattet ist, kann es schwierig sein, dies vorherzusehen. Aber wenn es völlig übersehen wird, kann es schnell zu einem ernsthaften Geschäftsrisiko werden.

Hier sind zwei der Hauptarten von Diebstahl, auf die Sie achten müssen:

Validierungsdiebstahl

Die Validierung eines öffentlich zugänglichen Formulars bedeutet, dass jeder darauf zugreifen kann. Das ist gut, oder?

Ja und nein. Das bedeutet, dass auch schlechte Akteure darauf zugreifen können. Diese Leute möchten auch, dass ihre Mailinglisten validiert werden. Wenn sie feststellen, dass Ihr Formular dazu in der Lage ist, können sie automatisierte Skripte schreiben, um ihre E-Mail-Adressen wiederholt in Ihr Formular einzufügen, den Validierungsschritt auszulösen und die Ergebnisse zu sammeln. Einfach ausgedrückt, sie führen Validierungen auf Ihre Kosten durch.

Diese Art von Angriffen kann ahnungslose Unternehmen innerhalb weniger Minuten Zehntausende von Dollar kosten. Erfahrene Engineering-Teams können (und sollten) sich gegen diese Art von Angriffen schützen, erfordern jedoch zusätzliche Planungs- und Entwicklungsstunden, die entweder zu Beginn eines Integrationsprojekts nicht berücksichtigt werden oder aufgrund von Ressourcen einfach nicht verfügbar sind.

Diebstahl von API-Schlüsseln

Validierungsdienste geben Ihnen mit Ihrem Konto einen API-Schlüssel, mit dem Sie auf seine API zugreifen können. Wer diesen Schlüssel besitzt, hat Zugriff auf die Dienste, für die Sie bezahlen. Der API-Schlüssel ist auch für die Echtzeit-Validierung in Ihren Formularen erforderlich, daher muss er in Ihren Code aufgenommen werden.

Das Laden einer Webseite ist wie das Backen eines Kuchens. Das gesamte Rezept (einschließlich der geheimen Zutat oder in diesem Fall des API-Schlüssels) ist zunächst nur dem Bäcker bekannt. Aber sobald es gebacken ist, sind viele der Zutaten fest und für jedermann sichtbar.

Dasselbe gilt für das Web. Öffnen Sie einfach einen beliebigen Browser, laden Sie eine Seite, öffnen Sie den Code-Inspektor und Sie sehen die sichtbaren Bestandteile (oder den clientseitigen Code). Die sichtbaren Teile Ihres Codes sind normalerweise harmlos. Aber wenn Ihr Engineering-Team sich entscheidet, den einfachen Weg zu gehen und den API-Schlüssel in den clientseitigen Code aufzunehmen, kann jeder schlechte Akteur vorbeikommen, sich den Schlüssel schnappen und die von Ihnen bezahlten Validierungsgutschriften verwenden.

Erfahrene Entwicklungsteams können sich dagegen wehren, indem sie eine Möglichkeit schaffen, dass der API-Schlüssel geheim bleibt (im geheimen Teil des Rezepts oder im Back-End-Code). Dies kann jedoch leicht übersehen werden und erfordert mehr Arbeit, um es sicher und schnell umzusetzen.

Die Einsätze sind in Zeiten mit hohem Verkaufsvolumen höher

Die Möglichkeit, Mailinglisten zu erweitern und Einnahmen zu erzielen, ist in Zeiten mit hohem Verkaufsvolumen wie der Weihnachtszeit, dem Beginn des neuen Jahres und sogar dem Valentinstag enorm. Dies sind jedoch auch perfekte Zeiten für schlechte Akteure, die nach ungeschützten Formularen und API-Schlüsseln suchen, um Ihr Unternehmen auszunutzen.

Geben Sie den öffentlichen Schlüssel ein

Ein Standard-API-Schlüssel ist ein privater Schlüssel . Bemühungen, diese Privatsphäre zu wahren, erfordern mehr Zeit, Fähigkeiten und höhere Entwicklungskosten (wenn Sie die Ressourcen dafür haben).

Eine gute Lösung ist eine, die keinen Datenschutz erfordert: ein öffentlicher API-Schlüssel .

Stellen Sie sich private und öffentliche Schlüssel wie die Doppeltüren vor, die Sie zum Betreten eines Kaufhauses verwenden (falls Sie so etwas noch tun). Beide Türen sind vorhanden, um das Innere des Ladens vor schlechtem Wetter zu schützen. Was auch immer draußen ist, wird im Raum zwischen der ersten Tür (dem öffentlichen Schlüssel) und der zweiten Tür (dem privaten Schlüssel) eingefangen.

Mal sehen, wie sie unsere beiden Diebstahlprobleme angehen:

• Validierungsdiebstahl: Sie können einen Angreifer nicht daran hindern, Ihre Website zu besuchen und zu versuchen, Ihr Formular zu hijacken, aber Sie können das Risiko mindern. Das Schöne an der Verwendung eines öffentlichen Schlüssels (oder der „Außentür“) ist, dass Sie den Raum dazwischen kontrollieren.

Da Validierungsaufrufe diesen Raum betreten müssen, können Sie entscheiden, was mit ihnen geschehen soll. Indem Sie die Anzahl der Validierungsanrufe begrenzen, die von einem bestimmten Benutzer ausgeführt werden können (pro Minute oder pro Sekunde), begrenzen Sie den Schaden, den ein Entführer anrichten kann, erheblich. Sie stellen auch ein viel weniger attraktives Ziel dar. Wenn Sie über die Ressourcen verfügen, kann Ihr Engineering-Team benutzerdefinierte Funktionen entwickeln, um dies zu tun, oder Sie können dies von einem Dienst erledigen lassen, der Drosselung über öffentliche API-Schlüssel bereitstellt.

• Diebstahl von API-Schlüsseln: Da öffentliche Schlüssel in clientseitigem Code verwendet werden sollen, müssen Sie keine ausgefeilten Methoden entwickeln, um sie geheim zu halten. Sie können es buchstäblich einfach offen lassen, weil Sie den Raum zwischen den Türen vermitteln.

Sie können Validierungsaufrufe nach ihrer Ursprungsdomäne einschränken, was bedeutet, dass Sie alle API-Aufrufe ablehnen können, die von Domänen stammen, denen Sie nicht zugeordnet sind. Also, selbst wenn ein schlechter Schauspieler den Schlüssel stiehlt, wird es für ihn viel weniger Wert sein. Jede Implementierung öffentlicher Schlüssel (ob Ihre eigene benutzerdefinierte Lösung oder ein Validierungsdienst) sollte mindestens zwei Faktoren verwenden, um die Anfragen zu vermitteln, die durch Ihre Türen kommen. Ratendrosselung und Domain-Whitelisting sind ein guter Anfang.

Das Beste an der Verwendung eines Validierungsdienstes, der öffentliche Schlüssel unterstützt, ist, dass Sie sich keine Gedanken mehr über Entwicklungszeit und -ressourcen machen müssen. Die Integrationsarbeit für eine Validierungs-API mit einem öffentlichen Schlüssel ist viel einfacher (und somit schneller), da viele Fragen zur Sicherheit im Voraus ausgearbeitet werden.

Fazit

Das neue Jahr bietet viele Möglichkeiten, Ihre Mailingliste zu erweitern, daher ist es wichtig sicherzustellen, dass nur gültige Daten in Ihr CRM gelangen. Stellen Sie sicher, dass schlechte Akteure nicht von Ihrer Validierungs-API profitieren, indem Sie einen Validierungsdienst verwenden, der öffentliche Schlüssel unterstützt.

BriteVerify kann Ihnen beispielsweise dabei helfen, das Risiko eines API-Diebstahls zu verringern und gleichzeitig sicherzustellen, dass Kontakte korrekte Daten in Ihre Webformulare eingeben.

Um mehr zu erfahren, vereinbaren Sie noch heute eine Demo mit uns.