Die letzten Wochen des Jahres 2025 haben eindrucksvoll demonstriert, was passiert, wenn API-Sicherheit zur Nebensache wird...
Der 700Credit-Vorfall: Anatomie eines vermeidbaren Datendiebstahls
Am 25. Oktober 2025 entdeckte das Finanzdienstleistungsunternehmen 700Credit, dass über fünf Monate hinweg systematisch Kundendaten exfiltriert wurden. Die Bilanz: 5,8 Millionen Verbraucherdatensätze – rund 20% der gesamten Datenbank.
Wie der Angriff ablief
Im Juli 2025 kompromittierten Angreifer zunächst ein Partnerunternehmen von 700Credit. Die Schwachstelle war simpel: Die API nutzte "Consumer Reference IDs" zur Identifikation. Wer eine solche ID an den Endpoint schickte, bekam die kompletten Daten zurück – ohne Berechtigungsprüfung.
Zwischen Mai und Oktober 2025 starteten die Angreifer einen Velocity Attack: Sie probierten systematisch verschiedene IDs durch. Fünf Monate lang dauerte es, bis jemandem auffiel.
Das Problem: Broken Object Level Authorization
BOLA steht auf Platz 1 der OWASP API Security Top 10. Jede API-Anfrage muss prüfen: "darf dieser spezifische Nutzer auf diese spezifische Ressource zugreifen?"
Ein systematischer API Security Test hätte diese Schwachstelle in Minuten identifiziert. Automatisierte Plattformen – wie Venedy – erstellen automatisch verschiedene User-Kontexte und testen systematisch die Account-Separation.
React2Shell: Wenn die Zeit zwischen Disclosure und Exploitation verschwindet
Die Schwachstelle
Am 3. Dezember 2025 wurde CVE-2025-55182 veröffentlicht – eine kritische RCE-Schwachstelle in React Server Components (CVSS 10.0). Vollständige Server-Kompromittierung mit einer einzigen HTTP-Anfrage.
Exploitation in Stunden
Bereits wenige Stunden nach Veröffentlichung beobachteten Forscher erste Exploitation-Versuche. GreyNoise identifizierte über 362 eindeutige Angreifer-IPs. Ende Dezember waren noch 90.300 verwundbare Instanzen erreichbar.
Das neue Paradigma: Continuous API Security
API Security muss kontinuierlich sein, nicht episodisch. Agentenbasierte API-Testing-Systeme können automatisch APIs erkunden, Endpoints entdecken und intelligente Testcases generieren.
Was diese Vorfälle bedeuten
Was wir brauchen, ist intelligentes, kontinuierliches Testing, das:
- Automatisch versteht, wie eine API funktioniert
- Relevante Schwachstellenklassen kontextbewusst testet
- Kontinuierlich läuft, nicht nur vor Releases
- Schnell auf neue Bedrohungen reagieren kann
Quellen
700Credit Data Breach:
- SecureMyOrg: How to Identify and Fix BOLA Vulnerabilities in Your APIs
- Qodex: Common API Security Vulnerabilities & Solutions
React2Shell (CVE-2025-55182):
- Bleeping Computer: React2Shell flaw exploited to breach 30 orgs
- Cloudflare: WAF proactively protects against React vulnerability
Ihre APIs testen?
Erfahren Sie, wie Venedy kontextbezogene Schwachstellen automatisch aufdeckt.