API di convalida in tempo reale: come prevenire i furti nel nuovo anno

Quando si tratta di impedire che dati errati entrino nel tuo CRM, la convalida in tempo reale può fare la differenza. Ma lo sapevi che può mettere a rischio anche la tua azienda?

Il furto è un problema comune con le API di convalida in tempo reale. Preparare la tua azienda a far fronte ai furti può aiutarti a proteggere i tuoi dati, risparmiare denaro e prevenire attacchi futuri.

Anche se ti sei concentrato sulla crescita della tua mailing list e sulla massimizzazione delle entrate durante le festività natalizie, è possibile che tu abbia lasciato la tua azienda vulnerabile ai furti.

Approfondiamo le API di convalida in tempo reale, le sfide che presentano e i passaggi che puoi intraprendere per proteggere la tua azienda nel nuovo anno.

Che cos'è la convalida in tempo reale?

Supponiamo che un cliente faccia clic su una delle CTA nella tua campagna e-mail o sui social media. Ti stai offrendo di prendere il 20 percento di sconto sul loro acquisto in cambio di una newsletter mensile. Sembra una buona offerta! Quindi, decidono di aggiungere il loro indirizzo email al modulo di registrazione.

Tranne che non lo fanno. Inseriscono un indirizzo e-mail casuale sperando di evitare la fine dell'affare. O forse digitano il loro vero indirizzo e-mail, ma lasciano accidentalmente un errore di battitura. Ad ogni modo, quando vanno a inviare, ricevono un messaggio di feedback gentile: "Sembra che il tuo indirizzo email potrebbe non essere valido. Puoi controllare di nuovo?"

Hai solo assicurato che un cliente agisca in buona fede e l'altro si riprenda con grazia da un errore genuino. Questa è la convalida in tempo reale.

La convalida in tempo reale funziona eseguendo un controllo di convalida (utilizzando un'API di convalida di terze parti) su informazioni come indirizzi e-mail, indirizzi postali e numeri di telefono prima che un cliente invii un modulo. Può essere fatto per le iscrizioni a newsletter, moduli di acquisto, moduli di registrazione o qualsiasi altro tipo di input che genera lead.

La convalida in tempo reale mantiene le informazioni errate fuori dai tuoi elenchi di contatti, impedendo loro di arrivarci in primo luogo. Questo è importante perché l'invio di routine a indirizzi non validi può danneggiare la tua reputazione presso i provider di cassette postali e causare problemi di recapito.

La sfida con le API di convalida in tempo reale

Tutto questo suona alla grande. Ma sfortunatamente, anche gli hacker la pensano così.

Il furto è uno dei maggiori problemi che dovrai affrontare quando si tratta di API di convalida in tempo reale. A seconda delle risorse del tuo team di ingegneri, può essere difficile prevederlo. Ma se trascurato del tutto, può diventare rapidamente un serio rischio aziendale.

Ecco due dei principali tipi di furto a cui devi prestare attenzione:

Furto di convalida

Mettere la convalida su un modulo rivolto al pubblico significa che chiunque può accedervi. Questo è buono, giusto?

Sì e no. Significa che anche i cattivi attori possono accedervi. Queste persone vorrebbero che anche le loro mailing list venissero convalidate. Se scoprono che il tuo modulo può farlo, possono scrivere script automatici per inserire ripetutamente i loro indirizzi e-mail nel modulo, attivare la fase di convalida e raccogliere i risultati. In poche parole, stanno eseguendo le convalide a pochi centesimi.

Questo tipo di attacchi può costare alle aziende ignare decine di migliaia di dollari in pochi minuti. I team di ingegneri esperti possono (e dovrebbero) proteggersi da questo tipo di attacco, ma richiede ulteriori ore di pianificazione e sviluppo che potrebbero non essere considerate all'inizio di un progetto di integrazione o semplicemente non essere disponibili a causa delle risorse.

Furto di chiavi API

I servizi di convalida ti forniranno una chiave API con il tuo account che ti consente di accedere alla sua API. Chiunque sia in possesso di questa chiave ha accesso ai servizi per i quali stai pagando. La chiave API è necessaria anche per la convalida in tempo reale nei moduli, quindi deve essere inclusa nel codice.

Caricare una pagina web è come cuocere una torta. All'inizio, l'intera ricetta (compreso l'ingrediente segreto, o in questo caso la chiave API) è nota solo al fornaio. Ma una volta sfornato, molti degli ingredienti sono fissati e visibili a chiunque.

Lo stesso vale per il web. Basta aprire un browser qualsiasi, caricare una pagina, aprire l'ispettore del codice e vedrai gli ingredienti visibili (o il codice rivolto al client). Le parti visibili del codice sono generalmente innocue. Ma se il tuo team di ingegneri decide di seguire la strada più facile e includere la chiave API nel codice rivolto al cliente, qualsiasi cattivo attore può arrivare, prendere la chiave e utilizzare i crediti di convalida che hai pagato.

I team di ingegneri esperti possono proteggersi da questo creando un modo per mantenere segreta la chiave API (nella parte segreta della ricetta o nel codice back-end). Ma questo può essere facilmente trascurato e richiede più lavoro per essere implementato in modo rapido e sicuro.

La posta in gioco è più alta durante i periodi di vendita ad alto volume

L'opportunità di far crescere le mailing list e generare entrate è enorme durante i periodi di vendita ad alto volume come le festività natalizie, l'inizio del nuovo anno e persino il giorno di San Valentino. Tuttavia, questi sono anche tempi perfetti per i malintenzionati che cercano moduli non protetti e chiavi API per depredare la tua attività.

Immettere la chiave pubblica

Una chiave API standard è una chiave privata . Gli sforzi per mantenere tale privacy richiedono più tempo, abilità e costi di sviluppo più elevati (se si dispone delle risorse per questo).

Una buona soluzione è quella che non richiede privacy: una chiave API pubblica .

Pensa alle chiavi private e pubbliche come le doppie porte che usi per entrare in un grande magazzino (se fai ancora quel genere di cose). Entrambe le porte esistono per proteggere l'interno del negozio dalle intemperie. Tutto ciò che è esterno viene catturato nello spazio compreso tra la prima porta (la chiave pubblica) e la seconda porta (la chiave privata).

Vediamo come affrontano i nostri due problemi di furto:

• Furto di convalida: non puoi impedire a un malintenzionato di visitare il tuo sito e tentare di dirottare il tuo modulo, ma puoi mitigare il rischio. Il bello di usare una chiave pubblica (o la "porta esterna") è che controlli lo spazio intermedio.

Poiché le chiamate di convalida devono entrare in quello spazio, puoi decidere cosa farne. Limitando il numero di volte in cui una chiamata di convalida può essere effettuata da un determinato utente (al minuto o al secondo), limiti notevolmente i danni che un dirottatore può fare. Presenti anche un target molto meno attraente. Se hai le risorse, il tuo team di ingegneri può creare funzionalità personalizzate per farlo, oppure puoi lasciare che un servizio che fornisce limitazione tramite chiavi API pubbliche lo faccia per te.

• Furto di chiavi API: poiché le chiavi pubbliche devono essere utilizzate nel codice rivolto ai client, non è necessario sviluppare metodi sofisticati per mantenerle segrete. Puoi letteralmente lasciarlo esposto, perché media lo spazio tra le porte.

Puoi limitare le chiamate di convalida in base al dominio di origine, il che significa che puoi rifiutare qualsiasi chiamata API proveniente da domini a cui non sei associato. Quindi, anche se un cattivo attore ruba la chiave, avrà molto meno valore per loro. Qualsiasi implementazione di chiavi pubbliche (sia la tua soluzione personalizzata che un servizio di convalida) dovrebbe utilizzare almeno due fattori per mediare le richieste che arrivano attraverso le tue porte. La limitazione della frequenza e l'inserimento nella whitelist del dominio sono un buon inizio.

La parte migliore dell'utilizzo di un servizio di convalida che supporta le chiavi pubbliche è che puoi smettere di preoccuparti del tempo e delle risorse di sviluppo. Il lavoro di integrazione per un'API di convalida con una chiave pubblica è molto più semplice (quindi più veloce), poiché molte delle domande relative alla sicurezza vengono risolte in anticipo.

Conclusione

Il nuovo anno presenterà molte opportunità per far crescere la tua mailing list, quindi è importante assicurarsi che solo dati validi entrino nel tuo CRM. Assicurati di impedire ai malintenzionati di sfruttare la tua API di convalida utilizzando un servizio di convalida che supporti le chiavi pubbliche.

BriteVerify, ad esempio, può aiutarti a ridurre il rischio di furto dell'API assicurandoti comunque che i contatti inseriscano dati accurati nei tuoi moduli web.

Per saperne di più, pianifica una demo con noi oggi.