Il mio nuovo manuale d’uso: rilevare e fermare gli abusi delle API in anticipo.

13 marzo 2026

Il nuovo libro di gioco dei botnet: Come individuare e prevenire l’abuso delle API prima che sia troppo tardi

Ciao a tutti, Pat Reeves qui, direttamente dalle trincee della sicurezza dei bot. Oggi voglio parlare di qualcosa che mi impedisce di dormire la notte, e onestamente, dovrebbe preoccupare anche voi: l’abuso delle API. Siamo stati tutti così concentrati sul web scraping, sullo stuffing dei dati di identificazione e sugli attacchi DDoS che a volte perdiamo di vista i mezzi più silenziosi e subdoli con cui i bot si evolvono. E in questo momento, il loro nuovo campo di gioco preferito è le vostre API.

Pensateci. Le API sono la spina dorsale delle applicazioni moderne. Collegano tutto, dalla vostra applicazione mobile ai servizi backend, passando per le integrazioni di terze parti. Sono progettate per la comunicazione macchina a macchina, il che, ironicamente, le rende incredibilmente allettanti per… beh, altre macchine. In particolare macchine malintenzionate. E ciò che vedo ultimamente non si limita a cercare di accedere a conti; si tratta di bot che smontano sistematicamente la logica commerciale, rubano dati e persino manipolano i prezzi di mercato, il tutto attraverso chiamate API che sembrano legittime.

Ero in chiamata la settimana scorsa con una ex collega, Sarah, che gestisce la sicurezza di una grande piattaforma di e-commerce. Era a pezzi. Avevano implementato tutte le misure standard di mitigazione dei bot per il loro frontend: CAPTCHA, limitazione del tasso di connessione, persino analisi comportamentali sofisticate. Ma i loro numeri di inventario erano sempre distorti, i loro articoli più ricercati sparivano dagli stock quasi all’istante e i clienti si lamentavano di ordini fantasma. Dopo settimane di indagini, alla fine hanno rintracciato tutto a un botnet sofisticato che non colpiva nemmeno il loro sito web. Mirava direttamente alla loro API di disponibilità dei prodotti, interrogando gli ID degli articoli in rapida successione, identificando gli articoli a bassa disponibilità, poi, tramite un’altra API, li riservava giusto il tempo necessario affinché gli acquirenti umani sui mercati secondari potessero completare gli acquisti. Era un gioco di coquille digitale, e i bot tenevano il controllo.

Non è più teoria. Sta realmente accadendo. E se non monitorate attivamente e non mettete in sicurezza le vostre API contro questo tipo di abuso, lasciate una falla enorme e palese nelle vostre difese.

I killer silenziosi: Tipi di abuso delle API da tenere d’occhio

Quando parliamo di abuso delle API, non si tratta solo di forzare un endpoint di autenticazione. I bot stanno diventando più intelligenti, si mimetizzano e sfruttano il design stesso delle vostre API. Ecco alcuni degli attacchi comuni che vedo:

1. Abuso della logica commerciale

È ciò a cui la società di Sarah stava assistendo. I bot non cercavano di intrufolarsi nel sistema; cercavano di manipolare il modo in cui il sistema funziona. Ecco alcuni esempi:

• Esaurimento dell’inventario: Come descritto sopra, i bot identificano rapidamente e riservano articoli a bassa disponibilità, a volte senza nemmeno completare l’acquisto, solo per privare gli utenti legittimi.
• Manipolazione dei prezzi/Arbitraggio: I bot possono interrogare le API di prezzo attraverso diverse regioni o piattaforme per trovare incoerenze, quindi automatizzare acquisti o vendite per sfruttare queste differenze.
• Creazione/Manipolazione fraudolenta di conti: Utilizzo di API pubbliche o debolmente protette per creare un gran numero di falsi conti, iscriversi a servizi o reclamare offerte promozionali.
• Abuso dei programmi di referenze: Automazione del processo di referral per generare falsi lead o reclamare bonus di referral.

2. Esfiltrazione di dati

È qui che i bot interrogano sistematicamente le API per estrarre dati sensibili o preziosi. Questo potrebbe non essere un unico grande scarico, ma piuttosto una lenta e costante goccia che è più difficile da rilevare.

• Scraping di dati pubblici (su larga scala): Anche i dati accessibili al pubblico, se estratti su larga scala tramite API, possono mettere un carico significativo sulla vostra infrastruttura o essere utilizzati per informazioni competitive.
• Sfruttamento di una autorizzazione debole: Se un endpoint API restituisce dati a cui un utente specifico non dovrebbe avere accesso, o se i controlli di autorizzazione sono difettosi, i bot li troveranno. Ho visto casi in cui un bot, autenticato come utente normale, poteva esaminare gli ID degli utenti e estrarre informazioni di profilo private perché l’API non verificava correttamente la proprietà.

3. Esaurimento delle risorse/DoS (via API)

Mentre un DDoS tradizionale colpisce il livello di rete, un DoS a livello API mira a chiamate API specifiche, spesso costose. Immaginate un’API che genera report complessi o esegue query pesanti sul database. I bot possono colpire questi endpoint, esaurendo le vostre risorse server, connessioni al database, o persino i limiti delle API di terze parti, causando degrado del servizio o costi aumentati.

Come iniziare a individuare i bot delle API: passaggi pratici

Quindi, come catturare questi piccoli diavoletti subdoli? È necessario cambiare il vostro stato mentale, passando dalla protezione del perimetro alla comprensione dell’intento dietro ogni chiamata API.

1. Esplorate a fondo i vostri log delle API (oltre ai codici di stato HTTP)

Questo è fondamentale. Dovete registrare tutto ciò che è rilevante per le vostre API: il percorso della richiesta, il metodo, l’agente utente, l’indirizzo IP, il corpo della richiesta, il corpo della risposta (o una versione troncata), e soprattutto, la latenza della chiamata API. Non limitatevi a cercare codici 403 o 500. Gli attacchi dei bot consistono spesso in risposte 200 OK perfettamente legittime.

Ciò che cercate sono dei modelli:

• Volumi di chiamate insoliti verso endpoint specifici: Il vostro endpoint /api/v1/products/check-stock riceve improvvisamente 100 volte il traffico abituale, in particolare al di fuori degli orari di punta?
• Ciclare rapidamente attraverso i parametri: I bot tentano spesso di iterare rapidamente attraverso ID, codici prodotto o conti utente. Se un solo IP o conto utente effettua richieste per product/1, poi product/2, poi product/3 in millisecondi, è un segnale rosso.
• Catene di agenti utente anomale: Anche se i bot sofisticati usano spoofing, molti usano ancora stringhe generiche (ad esempio, “Python-requests/2.25.1”) o mancano di intestazioni comuni dei browser.
• Anomalie nell’IP sorgente: Un’improvvisa ondata di richieste da un fornitore cloud specifico (AWS, Azure, GCP) o da una gamma di IP noti per i servizi proxy.
• Discrepanze temporali: Richieste che arrivano a intervalli meccanici, o troppo velocemente perché un umano possa interagire in modo realistico con l’interfaccia utente che attiverebbe queste chiamate API.

Ecco un esempio semplice di richiesta di log (pseudocodice per uno strumento SIEM o di analisi log):

SELECT
 ip_address,
 endpoint,
 COUNT(*) as total_requests,
 AVG(response_time_ms) as avg_latency,
 GROUP_CONCAT(DISTINCT user_agent) as unique_user_agents
FROM
 api_access_logs
WHERE
 timestamp > NOW() - INTERVAL '1 hour'
GROUP BY
 ip_address, endpoint
HAVING
 total_requests > 1000 -- Regolate la soglia in base al traffico normale
ORDER BY
 total_requests DESC;

Questo tipo di richiesta aiuta a far emergere gli IP o gli endpoint che registrano un’attività anormalmente elevata. Poi, potete approfondire ulteriormente.

2. Implementate una limitazione del tasso granulare (e rendetela intelligente)

Una limitazione del tasso generica (ad esempio, 100 richieste al minuto per IP) è un buon inizio, ma i bot possono facilmente aggirarla distribuendo il traffico su molteplici IP. Dovete diventare più astuti.

• Limitazione del tasso per endpoint: Alcuni endpoint (come la verifica delle scorte o la ricerca) sono più vulnerabili di altri. Applicate limiti più severi dove l’abuso provoca più danni.
• Limitazione del tasso per utente/sessione: Se un utente è autenticato, limitate in base al suo ID utente o al suo token di sessione. Questo aiuta a catturare i bot anche se utilizzano IP rotanti.
• Limitazione del tasso adattativa: Se rilevate un comportamento sospetto (ad esempio, una serie di errori, tentativi di login falliti ripetuti), riducete temporaneamente il limite di tasso per quell’utente o quell’IP.

Ecco un esempio semplificato di come potresti implementare una limitazione del tasso per utente e per endpoint in un’applicazione Node.js Express (utilizzando express-rate-limit) :

const rateLimit = require('express-rate-limit');

// Limite generale per la maggior parte delle API
const generalApiLimiter = rateLimit({
 windowMs: 15 * 60 * 1000, // 15 minuti
 max: 100, // Limita ogni IP a 100 richieste per finestra
 message: 'Troppe richieste da questo IP, riprova dopo 15 minuti.'
});

// Limite più rigoroso per un endpoint sensibile (ad esempio, controllo scorte)
const stockCheckLimiter = rateLimit({
 windowMs: 1 * 60 * 1000, // 1 minuto
 max: 10, // Limita ogni IP a 10 richieste al minuto
 keyGenerator: (req, res) => {
 // Se l'utente è autenticato, usa il suo ID; altrimenti, ricicla l'IP
 return req.user ? req.user.id : req.ip; 
 },
 message: 'Troppe richieste di controllo scorte, per favore rallenta.'
});

// Applicare alle rotte
app.use('/api/*', generalApiLimiter);
app.get('/api/v1/products/check-stock/:productId', stockCheckLimiter, (req, res) => {
 // ... gestisci la logica di controllo delle scorte
});

Nota il keyGenerator per il controllo delle scorte. È fondamentale per la limitazione per utente.

3. Valida e sanifica tutte le entrate (sempre!)

Questa è la sicurezza delle API 101, ma merita di essere ripetuta. I bot cercheranno di inviare richieste malformate, iniettare dati dannosi o semplicemente disturbare le tue entrate previste. Valida tutto: tipi di dati, lunghezze, formati e valori accettabili. Anche i parametri apparentemente innocui possono essere sfruttati.

• Validazione dello Schema: Usa strumenti come OpenAPI/Swagger per definire i tuoi schemi API e poi applicali rigorosamente.
• Lista Bianca dei Parametri: Accetta solo i parametri che ti aspetti esplicitamente. Ignora o rifiuta tutto il resto.
• Sanificazione: Se accetti contenuti generati dagli utenti, sanificali per prevenire attacchi XSS, iniezioni SQL e altri attacchi di iniezione.

Punti Chiave per Rendere le Tue API Immuni ai Bot

Quindi, concludiamo con passi concreti che puoi iniziare già domani:

1. Fai l’Inventario delle Tue API: Non puoi proteggere ciò che non sai di avere. Documenta ogni endpoint API, il suo scopo, i dati che si aspetta e i dati che restituisce. Cattegorizzali per sensibilità.
2. Implementa una Registrazione e una Sorveglianza Solide: Vai oltre i log di server di base. Assicurati che i tuoi log di gateway API o applicazione catturino tutti i dettagli pertinenti (IP, user agent, payload della richiesta/risposta, latenza). Imposta avvisi per modelli insoliti basati sulle metriche di cui abbiamo discusso.
3. Adotta un Limite di Tasso Granulare: Non limitarti ad applicare un limite di tasso globale su tutto. Personalizza i limiti per endpoint e, se possibile, per utente o sessione autenticata.
4. Rinforza l’Autenticazione e l’Autorizzazione:
   • MFA per le API Admin: È ovvio, ma spesso trascurato.
   • Principio del Minimo Privilegio: Assicurati che le chiavi/token API abbiano accesso solo alle risorse strettamente necessarie.
   • Controlli Rigorosi di Autorizzazione: Ogni chiamata API deve verificare che l’utente/servizio chiamante abbia il permesso di eseguire quell’azione su quella risorsa specifica. Non fidarti del client.
5. Valida e Sanifica Tutte le Entrate: Tratta ogni dato in entrata come potenzialmente dannoso. Applica schemi rigorosi e sanifica il testo libero.
6. Considera l’Analisi Comportamentale: Per una protezione più avanzata, esamina soluzioni in grado di analizzare il comportamento degli utenti/bot nel tempo, identificando deviazioni dai modelli normali (ad esempio, un cambiamento improvviso di origine geografica, frequenza delle richieste o sequenza di chiamate API). È qui che i servizi di mitigazione dei bot specializzati brillano.
7. Pensa a Testare Regolarmente le Tue API: Non testare solo la tua interfaccia web. Prova attivamente a compromettere le tue API dal punto di vista di un attaccante, cercando specificamente vulnerabilità nella logica aziendale e bypass di autorizzazione.

Il campo dei bot è in continua evoluzione e l’abuso delle API sta rapidamente diventando un vettore principale di attacchi. Non aspettare che il tuo inventario sia esaurito o che i tuoi dati vengano divulgati. Inizia a mettere in sicurezza le tue API oggi. Rimani vigile, rimani al sicuro, e ci rivedremo la prossima volta.

🕒 Published: April 4, 2026