API проверки в реальном времени: как предотвратить кражу в новом году

Когда дело доходит до предотвращения попадания неверных данных в вашу CRM, проверка в реальном времени может иметь огромное значение. Но знаете ли вы, что это также может подвергнуть вашу компанию риску?

Кража — распространенная проблема с API-интерфейсами проверки в реальном времени. Подготовка вашего бизнеса к борьбе с кражей может помочь вам защитить ваши данные, сэкономить деньги и предотвратить будущие атаки.

В то время как вы были сосредоточены на расширении списка рассылки и максимизации доходов в этот праздничный сезон, есть вероятность, что вы оставили свою компанию уязвимой для кражи.

Давайте углубимся в API-интерфейсы проверки в реальном времени, проблемы, которые они представляют, и шаги, которые вы можете предпринять, чтобы защитить свой бизнес в новом году.

Что такое проверка в реальном времени?

Скажем, клиент нажимает на один из CTA в вашей электронной почте или кампании в социальных сетях. Вы предлагаете 20-процентную скидку на их покупку в обмен на ежемесячный информационный бюллетень. Звучит как хорошее предложение! Итак, они решают добавить свой адрес электронной почты в регистрационную форму.

Но они этого не делают. Они вводят случайный адрес электронной почты в надежде уклониться от своей части сделки. Или, возможно, они вводят свой настоящий адрес электронной почты, но случайно делают опечатку. В любом случае, когда они отправляются на отправку, они получают мягкое сообщение обратной связи: «Похоже, ваш адрес электронной почты недействителен. Можешь еще раз проверить?»

Вы только что убедились, что один клиент действует добросовестно, а другой изящно исправляется после настоящей ошибки. Это проверка в реальном времени.

Проверка в режиме реального времени работает путем выполнения проверки (с использованием стороннего API проверки) такой информации, как адреса электронной почты, почтовые адреса и номера телефонов, прежде чем клиент отправит форму. Это может быть сделано для подписки на рассылку новостей, форм покупки, регистрационных форм или любого другого вида ввода, генерирующего лиды.

Проверка в режиме реального времени удерживает неверную информацию от ваших списков контактов, предотвращая ее попадание в первую очередь. Это важно, потому что регулярная отправка на недопустимые адреса может повредить вашей репутации у провайдеров почтовых ящиков и вызвать проблемы с доставкой.

Проблема с API-интерфейсами проверки в реальном времени

Все это звучит великолепно. Но, к сожалению, так думают и хакеры.

Кража — одна из самых больших проблем, с которыми вы столкнетесь, когда речь идет об API-интерфейсах проверки в реальном времени. В зависимости от того, насколько хорошо ваша команда инженеров обеспечена ресурсами, это может быть трудно предвидеть. Но если его вообще игнорировать, это может быстро стать серьезным бизнес-риском.

Вот два основных типа краж, на которые следует обратить внимание:

Кража проверки

Размещение проверки в общедоступной форме означает, что любой имеет к ней доступ. Это хорошо, верно?

Да и нет. Это означает, что злоумышленники также могут получить к нему доступ. Эти люди хотели бы, чтобы их списки рассылки также были проверены. Если они обнаружат, что ваша форма может это сделать, они могут написать автоматические сценарии, чтобы неоднократно вставлять свои адреса электронной почты в вашу форму, запускать этап проверки и собирать результаты. Проще говоря, они выполняют проверки за ваши деньги.

Такого рода атаки могут стоить ничего не подозревающим компаниям десятки тысяч долларов за считанные минуты. Опытные группы инженеров могут (и должны) защищаться от такого рода атак, но это требует дополнительных часов планирования и разработки, которые могут либо не учитываться в начале проекта интеграции, либо просто быть недоступными из-за нехватки ресурсов.

Кража API-ключа

Службы проверки предоставят вам ключ API с вашей учетной записью, который позволит вам получить доступ к его API. Тот, кто владеет этим ключом, имеет доступ к услугам, за которые вы платите. Ключ API также необходим для проверки в реальном времени в ваших формах, поэтому его необходимо включить в код.

Загрузка веб-страницы похожа на выпечку торта. Сначала весь рецепт (включая секретный ингредиент или, в данном случае, ключ API) известен только пекарю. Но как только оно выпекается, многие ингредиенты становятся фиксированными и видимыми для всех.

То же самое и с сетью. Просто откройте любой браузер, загрузите страницу, откройте инспектор кода, и вы увидите видимые ингредиенты (или клиентский код). Видимые части вашего кода обычно безобидны. Но если ваша команда инженеров решит пойти по более простому пути и включить ключ API в клиентский код, любой злоумышленник может прийти, захватить ключ и использовать кредиты проверки, за которые вы заплатили.

Опытные команды инженеров могут защититься от этого, создав способ, чтобы ключ API оставался секретным (в секретной части рецепта или внутреннего кода). Но это можно легко упустить из виду, и для его реализации безопасным и быстрым способом требуется дополнительная работа.

Ставки выше в периоды больших объемов продаж

Возможность расширять списки рассылки и получать доход огромна в периоды больших объемов продаж, таких как праздничный сезон, начало нового года и даже День святого Валентина. Тем не менее, это также идеальное время для злоумышленников, которые ищут незащищенные формы и ключи API, чтобы охотиться на ваш бизнес.

Введите открытый ключ

Стандартный ключ API — это закрытый ключ . Усилия по поддержанию этой конфиденциальности требуют больше времени, навыков и более высоких затрат на разработку (если у вас есть для этого ресурсы).

Хорошее решение, не требующее конфиденциальности: открытый ключ API .

Думайте о закрытых и открытых ключах как о двойных дверях, которые вы используете для входа в универмаг (если вы все еще делаете подобные вещи). Обе двери существуют для защиты внутреннего пространства магазина от непогоды. Все, что находится снаружи, попадает в пространство между первой дверью (открытый ключ) и второй дверью (закрытый ключ).

Давайте посмотрим, как они решают две наши проблемы с воровством:

• Кража проверки: вы не можете предотвратить посещение вашего сайта злоумышленником и попытку взломать вашу форму, но вы можете снизить риск. Прелесть использования открытого ключа (или «внешней двери») в том, что вы контролируете пространство между ними.

Поскольку проверочные вызовы должны входить в это пространство, вы сами решаете, что с ними делать. Ограничивая количество раз, когда данный пользователь может сделать проверочный вызов (в минуту или в секунду), вы значительно ограничиваете ущерб, который может нанести угонщик. Вы также представляете гораздо менее привлекательную цель. Если у вас есть ресурсы, ваша команда инженеров может создать для этого специальные функции, или вы можете позволить службе, которая обеспечивает регулирование через открытые ключи API, сделать это за вас.

• Кража ключей API. Поскольку открытые ключи предназначены для использования в клиентском коде, вам не нужно разрабатывать сложные методы, чтобы сохранить их в секрете. Вы можете буквально просто оставить его открытым, потому что вы опосредуете пространство между дверями.

Вы можете ограничить вызовы проверки исходным доменом, что означает, что вы можете отклонить любые вызовы API, исходящие из доменов, с которыми вы не связаны. Таким образом, даже если злоумышленник украдет ключ, он будет иметь для него гораздо меньшую ценность. Любая реализация открытых ключей (будь то ваше собственное решение или служба проверки) должна использовать как минимум два фактора для обработки запросов, поступающих через ваши двери. Регулирование скорости и белый список доменов — хорошее начало.

Лучшая часть использования службы проверки, поддерживающей открытые ключи, заключается в том, что вы можете перестать беспокоиться о времени и ресурсах разработки. Работа по интеграции для проверки API с открытым ключом намного проще (и, следовательно, быстрее), поскольку многие вопросы, связанные с безопасностью, решаются заранее.

Вывод

Новый год предоставит много возможностей для расширения вашего списка рассылки, поэтому важно убедиться, что в вашу CRM поступают только достоверные данные. Убедитесь, что злоумышленники не извлекли выгоду из вашего API проверки, используя службу проверки, которая поддерживает открытые ключи.

BriteVerify, например, может помочь вам снизить риск кражи API, при этом гарантируя, что контакты вводят точные данные в ваши веб-формы.

Чтобы узнать больше, запланируйте демонстрацию с нами сегодня.