Der Wegbegleiter im Bereich Finanztechnologie wehrt API-Angriffe ab

EarnIn ist ein Finanztechnologieunternehmen, das 2013 gegründet wurde und Dienstleistungen für den Zugang zu Löhnen und Gehältern anbietet. In der Überzeugung, dass Einzelpersonen in der Lage sein sollten, in Echtzeit – nicht Wochen später – auf ihre Einnahmen zuzugreifen, entwickelt das Unternehmen einen neuen Ansatz für Geldbewegungen. Möglich wird das durch eine App, die bereits über 15 Millionen Mal heruntergeladen wurde und über 380.000 5-Sterne-Bewertungen bei Google Play und im Apple App Store erhalten hat.

Um eine Kundenbindung herzustellen und zu erhalten, hat sich das Unternehmen verpflichtet, Services zu entwickeln, umzusetzen und zu gestalten, die das Vertrauen der Nutzer verdienen und zuverlässig sind. Zu dieser Verpflichtung gehört auch der Schutz vor potenziellen Angreifern, die Finanzbetrug begehen wollen. Als EarnIn EarnIn den Schutz vor API-Angriffen und aufkommenden Exploit-Versuchen vorantreiben musste, war Akamai API Security die optimale Lösung. 

Die Art und Weise, wie Geld und Daten zwischen Finanzinstituten und anderen Serviceanbietern in der Branche übertragen werden, entwickelt sich rasant weiter. Die zunehmende Nutzung von APIs für den Datentransfer und die Service-Integration erleichtert diese Entwicklung. In dieser dynamischen und vernetzten Umgebung fällt es Sicherheitsteams schwer, Bedrohungen effektiv abzuwehren, die potenziell Geschäftsunterbrechungen bewirken, das Vertrauen der Kunden beeinträchtigen und den Ruf der Marke schädigen können.

Die Telemetrieereignisse und Datenprotokollierungen in der gesamten Umgebung, auf die sich das Sicherheitsteam von EarnIn die längste Zeit verlassen hatte, reichten angesichts des schnell wachsenden und sich weiterentwickelnden API-Bestands nicht mehr aus. Einfach ausgedrückt, wünschte sich das Team angesichts fortschrittlicher API-Bedrohungen und Datenbewegungen mehr Sicherheit für eine wachsende Angriffsfläche.

Laut Stan Lee, dem CISO von EarnIn, sind zwei entscheidende Aspekte der Entwicklung moderner Apps das Verstehen und Kategorisieren der übertragenen Daten und das Wissen über den Nutzerzugriff. „Diese Sichtweise ist zum Ergreifen geeigneter Maßnahmen und für fundierte, risikobasierte Entscheidungen essenziell, zumal APIs für Angriffe als Ziel immer attraktiver werden. Aus diesem Grund suchten wir nach einer API-Sicherheitslösung, um unsere Kunden und deren Transaktionen zu schützen“, erklärt er.

Bei der Bewertung der Lösungen priorisierte EarnIn die Möglichkeit, die vom Unternehmen täglich produzierten API-Endpunkte zu ermitteln und aufzuführen. „Akamai API Security hat deutlich sichtbar gemacht, was übertragen wurde, unabhängig davon, ob der Datentransfer über ein internes Netzwerk oder extern erfolgte. Ein Überblick über unsere Angriffsfläche war genau das, was wir brauchten, um unser Risikoprofil zu verstehen und unsere APIs zu schützen“, so Lee weiter.

Ein weiteres Unterscheidungsmerkmal war der verwaltete Threat Hunting Service von Akamai. Lee erklärt: „Wir kannten bis dahin noch keinen derart proaktiven Ansatz zur Identifizierung neuer und aufkommender Bedrohungen und waren zuversichtlich, dass wir damit diese Bedrohungen effizient abwehren und gleichzeitig unser Geschäft dynamisch skalieren können.“

Wie Lee erklärt, war die Implementierung ein Kinderspiel. „Wir haben die kostengünstige, cloudbasierte API-Sicherheitslösung von Akamai problemlos in nur einer Woche implementiert.“ Außerdem brachte sie EarnIn sofort einen Nutzen. Von Anfang an verfügte Lees Sicherheitsteam über tokenisierte sensible Daten, die mithilfe von Verhaltensanalysen von API Security in der Akamai Connected Cloud schnell analysiert werden konnten. Die Analyse ermöglichte es dem Team, die Dynamik in seiner Umgebung zu ermitteln, Bedrohungsvektoren zu identifizieren und Aktionen und Verhaltensänderungen auszulösen.

Lee betont: „Mit Akamai API Security können wir analysieren, was vor sich geht, bei Angriffen Threat Hunting durchführen und sinnvolle Maßnahmen ergreifen, die unsere FinTech-App und unsere Kunden schützen.“

Mit Akamai API Security können die Teams für Sicherheit und Entwicklung von EarnIn Shadow-API-Endpunkte identifizieren und potenzielle Probleme schneller erkennen und untersuchen. „Dank Funktionen wie Verhaltensanalysen können wir mit Akamai API Security gängige Techniken wie Kontoübernahmen identifizieren und uns vor ihnen schützen“, so Lee weiter.

Wie bei vielen Unternehmen wird die API-Sicherheit für EarnIn auch in Zukunft ein entscheidender Faktor sein. Da so viele Produkte mithilfe von APIs entwickelt werden und so viele Technologien über APIs miteinander verbunden sind, ist es wichtig, dass das Unternehmen versteht, welche API-Veränderungen auf einen Angriff oder Betrug hinweisen können. „Die Lösung von Akamai verbessert die Art, wie wir unseren Entwicklern umsetzbare Maßnahmen an die Hand geben, wodurch wir Ihnen aussagekräftigere Daten liefern können. Darum sind wir zuversichtlich, dass unsere Apps auf sichere Weise entwickelt, implementiert und verwendet werden“, schließt Lee.

Mit EarnIn haben Sie ab dem Moment, in dem Sie es verdienen, Zugriff auf Ihr Geld¹ – nicht erst Tage oder Wochen später. Unsere Mission ist, die Art, wie Geld fließt, neu zu gestalten, um das Potenzial jedes Einzelnen zu stärken.

Das beginnt mit „Payday every Day“ und wird erweitert durch Tools wie automatisierten „Tip Yourself“-Konten², Kreditüberwachung und Balance Shield³, einer Warnfunktion bei niedrigem Kontostand. Alles ohne Zinsen⁴, ohne Bonitätsprüfungen und ohne obligatorische Gebühren⁵. So haben unsere Kunden unendlich viele Möglichkeiten, ihr Geld zu ihren Bedingungen auszugeben und zu sparen.

^{_{1 Abhängig von Ihren verfügbaren Bezügen, Tageshöchstwert und Höchstwert des Abrechnungszeitraums. Unter Umständen fallen Einschränkungen und/oder Gebühren von Dritten an. Weitere Informationen finden Sie unter EarnIn.com/TOS.
2 Guthaben auf dem „Tip Yourself“-Konto werden bei Evolve Bank & Trust gehalten. Diese ist FDIC-Mitglied und die Einlagen bis zu 250.000 US-Dollar sind bei der FDIC versichert. „Tip Yourself“ ist ein Service mit effektivem Jahreszins von 0 % und einer monatlichen Gebühr von 0 US-Dollar. Ihr „Tip Yourself“-Konto und alle „Tip Jars“ sind keine Sparkonten. Weitere Informationen erhalten Sie unter https://www.earnin.com/evolve-bank-and-trust}
3 „Balance Shield“-Auszahlungen sind abhängig von Ihren verfügbaren Bezügen, Tageshöchstwert und Höchstwert des Abrechnungszeitraums. Unter Umständen fallen Einschränkungen und/oder Gebühren von Dritten an. Weitere Informationen erhalten Sie unter _{earnin.com/TOS.
4  EarnIn berechnet keine Zinsen auf Auszahlungen.
5  EarnIn berechnet keine versteckten Gebühren für die Nutzung seiner Services.}}

Die bahnbrechende Earned Wage Access-App von EarnIn wird von erstklassigen Partnern wie A16Z, Matrix Partners und DST unterstützt. Seit unserer Gründung im Jahr 2013 haben mehr als 4,4 Millionen Kunden EarnIn verwendet. Wir haben über 380.000 5-Sterne-Bewertungen erhalten und Kunden geholfen, auf über 20 Milliarden US-Dollar an Löhnen und Gehältern zuzugreifen.