Un'innovativa società di tecnofinanza contrasta gli attacchi alle API

Fondata nel 2013, la società di tecnofinanza EarnIn offre servizi di accesso ai salari. Radicata nella convinzione che le persone devono poter accedere ai propri salari in tempo reale, non settimane dopo, la società sta ridefinendo il modo di spostare il denaro grazie alla sua app, che è stata scaricata 15 milioni di volte e ha ottenuto più di 380.000 recensioni a 5 stelle su Google Play Store e Apple App Store insieme.

Per guadagnare e mantenere la fiducia dei clienti, la società si impegna nell'intento di sviluppare, creare e progettare servizi che possono risultare affidabili e sicuri per gli utenti. Nell'ambito di tale impegno rientra la protezione della società da potenziali criminali che cercano di commettere frodi finanziarie. Mossa dalla necessità di migliorare e rafforzare i suoi sistemi di difesa dagli attacchi alle API e dai tentativi di sfruttamento delle vulnerabilità, EarnIn ha individuato la soluzione alle sue esigenze in Akamai API Security. 

Il modo con cui il denaro e i dati si spostano tra le istituzioni finanziarie e i fornitori di servizi di altri settori si sta rapidamente evolvendo grazie al crescente utilizzo delle API per il trasferimento dei dati e l'integrazione dei servizi. In questo ambiente dinamico e interconnesso, i team addetti alla sicurezza si sforzano di mitigare in modo efficace le minacce che potrebbero causare un'interruzione delle attività aziendali, intaccare la fiducia dei clienti e danneggiare la reputazione dei brand.

Il team addetto alla sicurezza di EarnIn si è basato a lungo sulla telemetria e sulla registrazione dei dati nel suo ambiente, ma ha riscontrato la necessità di adattarsi alla crescita e all'evoluzione del proprio patrimonio di API. In altre parole, il team desiderava sentirsi maggiormente protetto da autori di attacchi alle API sempre più sofisticati e da spostamenti di dati su una superficie di attacco in continua espansione.

Secondo Stan Lee, CISO di EarnIn, nello sviluppo delle app moderne si distinguono due aspetti cruciali: è fondamentale, innanzitutto, comprendere e classificare i dati trasferiti, quindi, in secondo luogo, capire l'accesso degli utenti. "Questa prospettiva è fondamentale per adottare le azioni appropriate e per prendere decisioni informate e basate sui rischi, specialmente nel momento in cui le API stanno diventando un bersaglio sempre più allettante per i criminali. Ecco perché abbiamo cercato una soluzione per la sicurezza delle API in grado di proteggere i nostri clienti e le loro transazioni", spiega Lee.

Valutando le caratteristiche di varie soluzioni, EarnIn ha dato la priorità alla capacità di rilevare ed elencare gli endpoint delle API prodotti dalla società su base quotidiana. "Akamai API Security ha chiaramente mostrato cosa veniva trasmesso e se i dati venivano spostati in una rete interna o all'esterno. Questa visione della nostra superficie di attacco era proprio ciò di cui avevamo bisogno per comprendere il nostro profilo di rischio e per proteggere le nostre API", continua Lee.

Un altro fattore distintivo è stato costituito dal servizio gestito per la ricerca delle minacce di Akamai. Lee afferma: "Non avevamo mai incontrato un approccio così proattivo all'identificazione delle minacce, sia nuove che emergenti e abbiamo capito che ci avrebbe consentito di mitigare in modo efficace le minacce senza compromettere le nostre attività aziendali".

Come spiega Lee, l'implementazione della soluzione è stata facilissima. "Abbiamo implementato in una sola settimana e con facilità la conveniente soluzione Akamai API Security basata sul cloud". Inoltre, EarnIn ha guadagnato un vantaggio immediato. Fin dall'inizio, il team addetto alla sicurezza di Lee ha potuto analizzare rapidamente i dati sensibili tokenizzati utilizzando l'analisi comportamentale mediante la funzione API Security disponibile in Akamai Connected Cloud. L'analisi ha consentito al team di ottenere i dati dinamici sul suo ambiente, identificare i vettori di attacco, attivare le azioni appropriate e cambiare il comportamento nel modo richiesto.

Come sottolinea Lee, "Akamai API Security ci consente di analizzare cosa succede, eseguire una ricerca delle minacce quando si verifica un attacco e adottare le azioni appropriate per proteggere i nostri clienti e le nostre app di tecnofinanza".

Akamai API Security ha consentito ai team addetti alla sicurezza e allo sviluppo di EarnIn di identificare gli endpoint delle API ombra e di rilevare ed esaminare i potenziali problemi più rapidamente. "Tramite le sue funzionalità, tra cui l'analisi comportamentale, Akamai API Security ci consente di identificare perfettamente le tecniche più comuni, come gli attacchi per il controllo degli account, e di proteggerci adeguatamente", continua Lee.

Come per moltissime aziende, la sicurezza delle API sarà un aspetto cruciale per il futuro di EarnIn. Con un numero così elevato di prodotti sviluppati tramite le API e di tecnologie grazie a queste connesse, è fondamentale per la società comprendere le modifiche delle API che possono segnalare un attacco o una frode. "La soluzione di Akamai migliora il modo con cui facciamo emergere gli elementi utili per i nostri sviluppatori, il che ci consente di fornire loro dati più significativi. Di conseguenza, siamo più certi di progettare, implementare e utilizzare le nostre app in modo sicuro", conclude Lee.

EarnIn consente di accedere ai salari non appena vengono guadagnati¹ , non dopo giorni o settimane. Ci impegniamo nell'intento di ridefinire il modo con cui avvengono i trasferimenti di denaro per favorire il potenziale di ciascuno.

Per prima cosa, ogni giorno diventa un giorno di paga anticipata; inoltre mettiamo a disposizione strumenti come i conti automatizzati Tip Yourself², il monitoraggio dei crediti³ e una funzione che avvisa quando si verifica un calo del saldo, il tutto senza interessi⁴ né controlli dei crediti o spese obbligatorie⁵. Pertanto, i nostri clienti possono usufruire di quante più opportunità possibili per spendere e risparmiare in base alle proprie esigenze.

^{_{1 In base ai guadagni disponibili, ai limiti giornalieri e al periodo di pagamento e/o potrebbero venire applicati costi di terze parti. Per ulteriori dettagli, potete visitare il sito EarnIn.com/TOS.
2 I fondi dei conti automatizzati Tip Yourself sono gestiti da Evolve Bank & Trust, membro della FDIC, che li assicura fino a 250.000 dollari. Tip Yourself è una percentuale annua dello 0% e non prevede costi mensili. I conti automatizzati Tip Yourself e Tip Jar non sono conti di risparmio. Per ulteriori informazioni/dettagli, potete visitare il sito https://www.earnin.com/evolve-bank-and-trust}
3 L'incasso Balance Shield è basato sui guadagni disponibili, sui limiti giornalieri e sul periodo di pagamento. Potrebbero venire applicate altre restrizioni e/o costi di terze parti. Per ulteriori informazioni, potete visitare il sito _{earnin.com/TOS.
4  EarnIn non applica interessi sugli incassi.
5 EarnIn non prevede costi nascosti per l'utilizzo dei suoi servizi.}}

Earned Wage Access, l'innovativa app di EarnIn, è supportata da partner internazionali, come A16Z, Matrix Partners e DST. Fin dalla nostra fondazione nel 2013, oltre 4,4 milioni di clienti hanno usato  EarnIn, abbiamo ricevuto più di 380.000 recensioni a 5 stelle e abbiamo aiutato i nostri clienti ad accedere ad oltre 20 miliardi di dollari di salari.