APIs de validação em tempo real: como evitar roubos no ano novo

Quando se trata de impedir que dados ruins entrem em seu CRM, a validação em tempo real pode fazer muita diferença. Mas você sabia que isso também pode colocar sua empresa em risco?

O roubo é um problema comum com APIs de validação em tempo real. Preparar sua empresa para lidar com roubos pode ajudá-lo a proteger seus dados, economizar dinheiro e evitar ataques futuros.

Embora você tenha se concentrado em aumentar sua lista de e-mails e maximizar a receita nesta temporada de festas, há uma chance de você ter deixado sua empresa vulnerável a roubos.

Vamos nos aprofundar nas APIs de validação em tempo real, nos desafios que elas apresentam e nas etapas que você pode seguir para proteger seus negócios no ano novo.

O que é validação em tempo real?

Digamos que um cliente clique em um dos CTAs em seu e-mail ou campanha de mídia social. Você está oferecendo 20% de desconto na compra em troca de um boletim informativo mensal. Parece uma boa oferta! Então, eles decidem adicionar seu endereço de e-mail ao formulário de inscrição.

Exceto que eles não. Eles inserem um endereço de e-mail aleatório na esperança de evitar sua parte no acordo. Ou talvez eles digitem seu endereço de e-mail real, mas acidentalmente deixem um erro de digitação. De qualquer forma, quando eles vão enviar, eles recebem uma mensagem de feedback gentil: “Parece que seu endereço de e-mail pode não ser válido. Você pode verificar novamente?”

Você acabou de garantir que um cliente aja de boa fé e que o outro se recupere graciosamente de um erro genuíno. Isso é validação em tempo real.

A validação em tempo real funciona realizando uma verificação de validação (usando uma API de validação de terceiros) em informações como endereços de e-mail, endereços de correspondência e números de telefone antes que um cliente envie um formulário. Isso pode ser feito para inscrições em newsletters, formulários de compra, formulários de registro ou qualquer outro tipo de entrada geradora de leads.

A validação em tempo real mantém informações ruins fora de suas listas de contatos, impedindo que elas cheguem lá em primeiro lugar. Isso é importante porque o envio rotineiro para endereços inválidos pode prejudicar sua reputação com os provedores de caixa de correio e causar problemas de entrega.

O desafio com APIs de validação em tempo real

Isso tudo soa muito bem. Mas, infelizmente, os hackers também pensam assim.

O roubo é um dos maiores problemas que você enfrentará quando se trata de APIs de validação em tempo real. Dependendo dos recursos da sua equipe de engenharia, pode ser difícil prever. Mas se negligenciado completamente, pode rapidamente se tornar um sério risco de negócios.

Aqui estão dois dos principais tipos de roubo que você precisa observar:

Roubo de validação

Colocar a validação em um formulário público significa que qualquer pessoa tem acesso a ele. Isso é bom, certo?

Sim e não. Isso significa que os maus atores também podem acessá-lo. Essas pessoas gostariam que suas listas de discussão também fossem validadas. Se eles descobrirem que seu formulário pode fazer isso, eles podem escrever scripts automatizados para conectar repetidamente seus endereços de e-mail em seu formulário, acionar a etapa de validação e coletar os resultados. Simplificando, eles estão realizando validações em seu centavo.

Esses tipos de ataques podem custar dezenas de milhares de dólares a empresas desavisadas em questão de minutos. Equipes de engenharia experientes podem (e devem) se proteger contra esse tipo de ataque, mas isso requer horas adicionais de planejamento e desenvolvimento que podem não ser consideradas no início de um projeto de integração ou simplesmente estar indisponíveis devido aos recursos.

roubo de chave de API

Os serviços de validação fornecerão uma chave de API com sua conta que permite acessar sua API. Quem tiver essa chave terá acesso aos serviços pelos quais você está pagando. A chave de API também é necessária para validação em tempo real em seus formulários, portanto, ela precisa ser incluída em seu código.

Carregar uma página da web é como assar um bolo. A princípio, toda a receita (incluindo o ingrediente secreto, ou neste caso, a chave da API) é conhecida apenas pelo padeiro. Mas uma vez assado, muitos dos ingredientes são fixos e visíveis para qualquer pessoa.

O mesmo acontece com a web. Basta abrir qualquer navegador, carregar uma página, abrir o inspetor de código e você verá os ingredientes visíveis (ou código voltado para o cliente). As partes visíveis do seu código geralmente são inócuas. Mas se sua equipe de engenharia decidir seguir o caminho mais fácil e incluir a chave de API no código voltado para o cliente, qualquer agente mal-intencionado pode aparecer, pegar a chave e usar os créditos de validação pelos quais você pagou.

Equipes de engenharia experientes podem se proteger contra isso criando uma maneira de a chave da API permanecer secreta (na parte secreta da receita ou código de back-end). Mas isso pode ser facilmente esquecido e requer mais trabalho para implementar de maneira segura e rápida.

As apostas são maiores durante os períodos de vendas de alto volume

A oportunidade de aumentar as listas de discussão e gerar receita é enorme durante períodos de vendas de alto volume, como a temporada de festas, o início do ano novo e até o Dia dos Namorados. No entanto, esses também são momentos perfeitos para atores mal-intencionados que procuram formulários desprotegidos e chaves de API para atacar seus negócios.

Digite a chave pública

Uma chave de API padrão é uma chave privada . Esforços para manter essa privacidade exigem mais tempo, habilidade e custos de desenvolvimento mais altos (se você tiver os recursos para isso).

Uma boa solução é aquela que não exige privacidade: uma chave de API pública .

Pense em chaves privadas e públicas como as portas duplas que você usa para entrar em uma loja de departamentos (se você ainda faz esse tipo de coisa). Ambas as portas existem para proteger o interior da loja das intempéries. O que quer que esteja do lado de fora é capturado no espaço entre a primeira porta (a chave pública) e a segunda porta (a chave privada).

Vamos ver como eles lidam com nossos dois problemas de roubo:

• Roubo de validação: você não pode impedir que um agente mal-intencionado visite seu site e tente seqüestrar seu formulário, mas pode mitigar o risco. A beleza de usar uma chave pública (ou a “porta externa”) é que você controla o espaço entre elas.

Como as chamadas de validação devem entrar nesse espaço, você decide o que fazer com elas. Ao limitar o número de vezes que uma chamada de validação pode ser feita por um determinado usuário (por minuto ou por segundo), você limita bastante o dano que um sequestrador pode causar. Você também apresenta um alvo muito menos atraente. Se você tiver os recursos, sua equipe de engenharia pode criar uma funcionalidade personalizada para fazer isso, ou você pode permitir que um serviço que forneça limitação por meio de chaves de API públicas faça isso por você.

• Roubo de chave de API: como as chaves públicas devem ser usadas no código voltado para o cliente, você não precisa desenvolver métodos sofisticados para mantê-las em segredo. Você pode literalmente deixá-lo exposto, porque você medeia o espaço entre as portas.

Você pode restringir as chamadas de validação por seu domínio de origem, o que significa que você pode rejeitar quaisquer chamadas de API provenientes de domínios aos quais você não está associado. Portanto, mesmo que um mau ator roube a chave, ela terá muito menos valor para eles. Qualquer implementação de chaves públicas (seja sua própria solução personalizada ou um serviço de validação) deve usar pelo menos dois fatores para mediar as solicitações que entram por suas portas. A limitação de taxa e a lista de permissões de domínio são um bom começo.

A melhor parte de usar um serviço de validação que oferece suporte a chaves públicas é que você pode parar de se preocupar com o tempo e os recursos de desenvolvimento. O trabalho de integração de uma API de validação com chave pública é bem mais simples (portanto, mais rápido), pois muitas das questões relacionadas à segurança são elaboradas com antecedência.

Conclusão

O novo ano apresentará muitas oportunidades para aumentar sua lista de e-mails, por isso é importante garantir que apenas dados válidos entrem em seu CRM. Certifique-se de impedir que atores mal-intencionados capitalizem sua API de validação usando um serviço de validação compatível com chaves públicas.

O BriteVerify, por exemplo, pode ajudá-lo a mitigar o risco de roubo de API enquanto ainda garante que os contatos estejam inserindo dados precisos em seus formulários da web.

Para saber mais, agende uma demonstração conosco hoje.