실시간 검증 API: 새해에 도난을 방지하는 방법

잘못된 데이터가 CRM에 유입되는 것을 방지하는 데 있어 실시간 검증은 세상을 바꿀 수 있습니다. 그러나 이것이 회사를 위험에 빠뜨릴 수도 있다는 사실을 알고 계셨습니까?

도난은 실시간 유효성 검사 API의 일반적인 문제입니다. 도난에 대처할 수 있도록 비즈니스를 준비하면 데이터를 보호하고 비용을 절감하며 향후 공격을 방지할 수 있습니다.

이번 휴가 시즌에 메일링 리스트를 늘리고 수익을 극대화하는 데 집중했지만 회사가 도난에 취약할 수 있습니다.

실시간 검증 API, API가 제시하는 과제, 새해에 비즈니스를 보호하기 위해 취할 수 있는 조치에 대해 자세히 알아보겠습니다.

실시간 검증이란 무엇입니까?

고객이 이메일 또는 소셜 미디어 캠페인에서 CTA 중 하나를 클릭한다고 가정해 보겠습니다. 월간 뉴스레터를 받는 대가로 구매 금액의 20%를 할인하겠다고 제안하고 있습니다. 좋은 제안 같군요! 그래서 그들은 가입 양식에 이메일 주소를 추가하기로 결정했습니다.

그들이하지 않는 것을 제외하고. 그들은 거래의 끝을 피하기 위해 임의의 이메일 주소를 입력합니다. 또는 실제 이메일 주소를 입력했지만 실수로 오타를 남겼을 수도 있습니다. 어느 쪽이든 제출할 때 부드러운 피드백 메시지를 받습니다. “이메일 주소가 유효하지 않은 것 같습니다. 다시 확인해 주시겠습니까?”

한 고객은 선의로 행동하고 다른 고객은 진정한 실수에서 우아하게 복구하도록 했습니다. 실시간 검증입니다.

실시간 유효성 검사는 고객이 양식을 제출하기 전에 이메일 주소, 우편 주소 및 전화번호와 같은 정보에 대해 유효성 검사(타사 유효성 검사 API 사용)를 수행하여 작동합니다. 뉴스레터 가입, 구매 양식, 등록 양식 또는 기타 리드 생성 입력에 대해 수행할 수 있습니다.

실시간 유효성 검사는 처음부터 연락처 목록에 나쁜 정보가 들어가는 것을 방지하여 연락처 목록에서 잘못된 정보를 유지합니다. 잘못된 주소로 정기적으로 전송하면 사서함 제공업체에 대한 평판이 나빠지고 배달 문제가 발생할 수 있으므로 이는 중요합니다.

실시간 검증 API에 대한 도전

이 모든 것이 훌륭하게 들립니다. 그러나 불행히도 해커들도 그렇게 생각합니다.

도난은 실시간 유효성 검사 API와 관련하여 직면하게 될 가장 큰 문제 중 하나입니다. 엔지니어링 팀이 얼마나 잘 자원을 보유하고 있는지에 따라 예상하기 어려울 수 있습니다. 그러나 완전히 간과하면 곧 심각한 비즈니스 위험이 될 수 있습니다.

다음은 주의해야 할 두 가지 주요 도난 유형입니다.

인증 도용

공개 양식에 유효성 검사를 적용하면 누구나 해당 양식에 액세스할 수 있습니다. 좋은데요?

예 및 아니오. 이는 나쁜 행위자도 액세스할 수 있음을 의미합니다. 이 사람들은 메일링 리스트도 확인되기를 원합니다. 그들이 당신의 양식이 그렇게 할 수 있다는 것을 발견하면, 그들은 이메일 주소를 당신의 양식에 반복적으로 연결하고, 검증 단계를 트리거하고, 결과를 수집하는 자동화된 스크립트를 작성할 수 있습니다. 간단히 말해서, 그들은 당신의 한 푼도 검증을 수행하고 있습니다.

이러한 종류의 공격은 순진한 기업에 몇 분 만에 수만 달러의 손실을 입힐 수 있습니다. 경험이 풍부한 엔지니어링 팀은 이러한 종류의 공격을 방어할 수 있고 방어해야 하지만 통합 프로젝트 초기에 고려되지 않거나 단순히 리소스로 인해 사용할 수 없는 추가 계획 및 개발 시간이 필요합니다.

API 키 도난

유효성 검사 서비스는 API에 액세스할 수 있는 계정과 함께 API 키를 제공합니다. 이 키를 보유한 사람은 누구나 귀하가 지불하는 서비스에 액세스할 수 있습니다. API 키는 양식의 실시간 유효성 검사에도 필요하므로 코드에 포함해야 합니다.

웹 페이지를 로드하는 것은 케이크를 굽는 것과 같습니다. 처음에는 전체 레시피(비밀 재료 또는 이 경우 API 키 포함)는 제빵사만 알 수 있습니다. 그러나 일단 구워지면 많은 재료가 고정되어 누구나 볼 수 있습니다.

웹에서도 마찬가지입니다. 아무 브라우저나 열고 페이지를 로드하고 코드 검사기를 열면 눈에 보이는 구성 요소(또는 클라이언트 쪽 코드)가 표시됩니다. 코드에서 볼 수 있는 부분은 일반적으로 무해합니다. 그러나 엔지니어링 팀이 쉬운 경로를 선택하고 API 키를 클라이언트 대면 코드에 포함하기로 결정하면 악의적인 행위자가 함께 와서 키를 잡고 지불한 유효성 검사 크레딧을 사용할 수 있습니다.

숙련된 엔지니어링 팀은 API 키가 비밀로 유지되는 방법을 만들어 이를 방지할 수 있습니다(레시피의 비밀 부분 또는 백엔드 코드에서). 그러나 이것은 쉽게 간과될 수 있으며 안전하고 빠른 방법으로 구현하려면 더 많은 작업이 필요합니다.

지분은 대량 판매 기간 동안 더 높습니다.

메일링 리스트를 늘리고 수익을 창출할 수 있는 기회는 휴가철, 새해 초, 심지어 발렌타인 데이와 같은 대량 판매 기간 동안 엄청납니다. 그러나 이것은 또한 보호되지 않은 양식과 API 키를 찾는 악의적인 행위자에게 완벽한 시간입니다.

공개 키 입력

표준 API 키는 개인 키 입니다. 개인 정보를 유지하려면 더 많은 시간, 기술 및 더 높은 개발 비용이 필요합니다(해당 리소스가 있는 경우).

좋은 솔루션은 개인 정보 보호가 필요하지 않은 공개 API 키 입니다.

백화점에 들어갈 때 사용하는 이중문과 같은 개인 및 공개 키를 생각해 보십시오(여전히 그런 종류의 일을 하는 경우). 악천후로부터 매장 내부를 보호하기 위해 양쪽 도어가 존재합니다. 외부에 있는 모든 것은 첫 번째 문(공개 키)과 두 번째 문(개인 키) 사이의 공간에 포착됩니다.

그들이 우리의 두 가지 도난 문제를 어떻게 해결하는지 봅시다.

• 유효성 검사 도용: 악의적인 사용자가 사이트를 방문하여 양식을 가로채는 것을 막을 수는 없지만 위험을 완화할 수는 있습니다. 공개 키(또는 "외부 문") 사용의 장점은 그 사이의 공간을 제어할 수 있다는 것입니다.

유효성 검사 호출이 해당 공간에 들어가야 하므로 이를 어떻게 처리할지 결정해야 합니다. 주어진 사용자가 검증 호출을 할 수 있는 횟수(분당 또는 초당)를 제한함으로써 하이재커가 할 수 있는 피해를 크게 제한할 수 있습니다. 당신은 또한 훨씬 덜 매력적인 목표를 제시합니다. 리소스가 있는 경우 엔지니어링 팀에서 이를 수행하기 위한 사용자 지정 기능을 구축하거나 공개 API 키를 통해 조절을 제공하는 서비스가 이를 수행하도록 할 수 있습니다.

• API 키 도용: 공개 키는 클라이언트 쪽 코드에서 사용되어야 하기 때문에 이를 비밀로 유지하기 위해 정교한 방법을 개발할 필요가 없습니다. 문 사이의 공간을 중재하기 때문에 말 그대로 노출된 상태로 둘 수 있습니다.

원래 도메인으로 유효성 검사 호출을 제한할 수 있습니다. 즉, 연결되지 않은 도메인에서 오는 API 호출을 거부할 수 있습니다. 따라서 나쁜 배우가 키를 훔친다 해도 그들에게는 훨씬 덜 가치가 있을 것입니다. 공개 키 구현(자체 사용자 지정 솔루션이든 유효성 검사 서비스이든)은 문을 통해 들어오는 요청을 조정하기 위해 최소한 두 가지 요소를 사용해야 합니다. 속도 조절 및 도메인 허용 목록은 좋은 시작입니다.

공개 키를 지원하는 검증 서비스를 사용하는 가장 좋은 점은 개발 시간과 리소스에 대한 걱정을 멈출 수 있다는 것입니다. 공개 키로 유효성 검사 API에 대한 통합 작업은 보안을 둘러싼 많은 질문이 미리 해결되기 때문에 훨씬 더 간단합니다(따라서 더 빠름).

결론

새해는 메일링 리스트를 늘릴 수 있는 많은 기회를 제공할 것이므로 유효한 데이터만 CRM에 입력되도록 하는 것이 중요합니다. 공개 키를 지원하는 유효성 검사 서비스를 사용하여 악의적인 행위자가 유효성 검사 API를 악용하는 것을 방지해야 합니다.

예를 들어 BriteVerify는 연락처가 웹 양식에 정확한 데이터를 입력하도록 하는 동시에 API 도난 위험을 완화하는 데 도움이 될 수 있습니다.

자세히 알아보려면 지금 데모를 예약하세요.