リアルタイム検証API：新年の盗難を防ぐ方法

不良データがCRMに入るのを防ぐことになると、リアルタイムの検証は世界に違いをもたらす可能性があります。 しかし、それがあなたの会社を危険にさらす可能性があることを知っていましたか？

盗難は、リアルタイム検証APIの一般的な問題です。 盗難に対処するためのビジネスの準備は、データを保護し、お金を節約し、将来の攻撃を防ぐのに役立ちます。

今年のホリデーシーズンには、メーリングリストの拡大と収益の最大化に注力してきましたが、会社を盗難に遭わせる可能性があります。

リアルタイム検証API、それらが提示する課題、および新年にビジネスを保護するために実行できる手順について詳しく見ていきましょう。

リアルタイム検証とは何ですか？

顧客がメールまたはソーシャルメディアキャンペーンのCTAの1つをクリックしたとします。 あなたは月刊ニュースレターと引き換えに彼らの購入から20パーセントを奪うことを申し出ています。 良いオファーのようですね！ そこで、彼らは自分の電子メールアドレスをサインアップフォームに追加することにしました。

そうでないことを除いて。 彼らは掘り出し物の終わりをかわすことを望んでランダムな電子メールアドレスを入力します。 または、実際の電子メールアドレスを入力しても、誤ってタイプミスを残してしまう可能性があります。 いずれにせよ、彼らが提出しようとすると、彼らは穏やかなフィードバックメッセージを受け取ります：「あなたのメールアドレスは有効ではないようです。 もう一度確認できますか？」

1人の顧客が誠意を持って行動し、もう1人の顧客が真の過ちから優雅に回復することを確認しました。 これがリアルタイムの検証です。

リアルタイム検証は、顧客がフォームを送信する前に、電子メールアドレス、郵送先住所、電話番号などの情報に対して検証チェックを実行することで機能します（サードパーティの検証APIを使用）。 これは、ニュースレターの登録、購入フォーム、登録フォーム、またはその他の種類のリード生成入力に対して実行できます。

リアルタイムの検証は、そもそも連絡先リストにアクセスできないようにすることで、連絡先リストから悪い情報を排除します。 無効なアドレスに定期的に送信すると、メールボックスプロバイダーに対する評判が損なわれ、配信可能性の問題が発生する可能性があるため、これは重要です。

リアルタイム検証APIの課題

これはすべて素晴らしいですね。 しかし残念ながら、ハッカーもそう思います。

盗難は、リアルタイム検証APIに関して直面する最大の問題の1つです。 エンジニアリングチームのリソースがどれだけあるかによっては、予測が難しい場合があります。 しかし、完全に見落とされた場合、それはすぐに深刻なビジネスリスクになる可能性があります。

ここにあなたが注意する必要がある盗難の2つの主なタイプがあります：

検証の盗難

公開フォームに検証を置くことは、誰でもそのフォームにアクセスできることを意味します。 これはいいですよね？

はいといいえ。 これは、悪意のある攻撃者もそれにアクセスできることを意味します。 これらの人々は、メーリングリストも検証されることを望んでいます。 フォームでそれができることを発見した場合は、自動化されたスクリプトを作成して、メールアドレスをフォームに繰り返しプラグインし、検証ステップをトリガーして、結果を収集できます。 簡単に言えば、彼らはあなたのダイムで検証を行っています。

この種の攻撃は、疑いを持たない企業に数分で数万ドルの費用をかける可能性があります。 経験豊富なエンジニアリングチームは、この種の攻撃を防ぐことができます（また、そうすべきです）が、統合プロジェクトの開始時に考慮されないか、リソースのために単に利用できない可能性がある追加の計画および開発時間が必要です。

APIキーの盗難

検証サービスは、APIにアクセスできるようにするアカウントのAPIキーを提供します。 このキーを持っている人は誰でも、あなたが支払っているサービスにアクセスできます。 APIキーは、フォームでのリアルタイム検証にも必要であるため、コードに含める必要があります。

Webページの読み込みは、ケーキを焼くようなものです。 最初は、レシピ全体（秘密の材料、この場合はAPIキーを含む）はパン屋だけが知っています。 しかし、一度焼くと、材料の多くは固定され、誰にでも見えるようになります。

同じことがウェブにも当てはまります。 ブラウザを開いてページを読み込み、コードインスペクターを開くだけで、表示されている要素（またはクライアント向けのコード）が表示されます。 コードの表示可能な部分は通常、無害です。 ただし、エンジニアリングチームが簡単な方法で、クライアント向けコードにAPIキーを含めることにした場合、悪意のある人物がやって来てキーを取得し、支払った検証クレジットを使用する可能性があります。

経験豊富なエンジニアリングチームは、APIキーを秘密に保つ方法を作成することでこれを防ぐことができます（レシピの秘密の部分、またはバックエンドコードで）。 しかし、これは簡単に見落とされる可能性があり、安全かつ迅速な方法で実装するには、より多くの作業が必要になります。

大量販売期間中は、賭け金が高くなります

ホリデーシーズン、新年の始まり、さらにはバレンタインデーなどの大量販売期間中に、メーリングリストを増やして収益を上げる機会は非常に大きいです。 ただし、これらは、保護されていないフォームやAPIキーを探してビジネスを食い物にする悪意のある人物にとっても最適な時期です。

公開鍵を入力してください

標準のAPIキーは秘密キーです。 そのプライバシーを維持するための努力には、より多くの時間、スキル、およびより高い開発コストが必要です（そのためのリソースがある場合）。

優れたソリューションは、プライバシーを必要としないソリューション、つまり公開APIキーです。

デパートに入るために使用する両開きドアのような秘密鍵と公開鍵を考えてみてください（それでもそのようなことをする場合）。 両方のドアは、悪天候から店内を保護するために存在します。 外にあるものはすべて、最初のドア（公開鍵）と2番目のドア（秘密鍵）の間のスペースに取り込まれます。

彼らが私たちの2つの盗難問題にどのように取り組んでいるか見てみましょう：

• 検証の盗難：悪意のある攻撃者がサイトにアクセスしてフォームを乗っ取ろうとするのを防ぐことはできませんが、リスクを軽減することはできます。 公開鍵（または「外部ドア」）を使用することの利点は、その間のスペースを制御できることです。

検証呼び出しはそのスペースに入る必要があるため、それらをどう処理するかを決定できます。 特定のユーザーが検証呼び出しを行うことができる回数（1分あたりまたは1秒あたり）を制限することにより、ハイジャック犯が与える可能性のある損害を大幅に制限します。 また、あまり魅力的でないターゲットを提示します。 リソースがある場合は、エンジニアリングチームがこれを行うためのカスタム機能を構築するか、パブリックAPIキーを介してスロットルを提供するサービスにそれを行わせることができます。

• APIキーの盗難：公開キーはクライアント向けのコードで使用されることを目的としているため、秘密を保持するための高度なメソッドを開発する必要はありません。 ドアの間のスペースを仲介するので、文字通り露出したままにしておくことができます。

元のドメインによって検証呼び出しを制限できます。つまり、関連付けられていないドメインからのAPI呼び出しを拒否できます。 したがって、悪意のある攻撃者が鍵を盗んだとしても、それは彼らにとってはるかに価値が低くなります。 公開鍵の実装（独自のカスタムソリューションまたは検証サービス）は、ドアから入ってくる要求を仲介するために少なくとも2つの要素を使用する必要があります。 レートスロットリングとドメインホワイトリストは良いスタートです。

公開鍵をサポートする検証サービスを使用する最大の利点は、開発時間とリソースについて心配する必要がなくなることです。 公開鍵を使用した検証APIの統合作業は、セキュリティに関する質問の多くが事前に解決されているため、はるかに簡単です（したがって高速です）。

結論

新年はメーリングリストを拡大する多くの機会を提供するため、有効なデータのみがCRMに入力されるようにすることが重要です。 公開鍵をサポートする検証サービスを使用して、悪意のあるユーザーが検証APIを利用しないようにしてください。

たとえば、BriteVerifyは、連絡先がWebフォームに正確なデータを入力していることを確認しながら、API盗難のリスクを軽減するのに役立ちます。

詳細については、今日私たちと一緒にデモをスケジュールしてください。