<b>Маркетинговый API без защиты от брутфорса — это не интеграция, а открытая дверь</b>

<b>Маркетинговый API без защиты от брутфорса — это не интеграция, а открытая дверь</b>

Если у вас есть login, refresh token, API key или подпись запроса, атакующий будет перебирать их в лоб. Брутфорс бьёт не только по паролям: под ударом endpoint’ы авторизации, обмена токенов, восстановления доступа и webhook-панели. Слабое место обычно не в шифровании, а в отсутствии ограничений на число попыток.

Что ставим на сервере и на уровне приложения:
— rate limit по IP, по аккаунту и по ключу;
— exponential backoff после неудачных попыток;
— временную блокировку после N ошибок;
— отдельный лимит на чувствительные ручки: /auth, /token, /reset, /webhooks;
— журналирование всех отказов с request_id и source IP.
Если лимит только по IP, ботнет его обходит. Если только по аккаунту — атакуют распределённо. Нужны оба слоя.

Дальше: короткие токены, ротация ключей, обязательная подпись запросов HMAC, запрет пустых и предсказуемых значений, allowlist для внутренних интеграций. Для админки API — только SSH-ключи, MFA и закрытый доступ через firewall/VPN. Логи ошибок надо отправлять в мониторинг, иначе вы узнаете о проблеме, когда уже начнут списываться бюджеты.

Проверка простая: попробуйте 20-30 неудачных запросов подряд с одного IP и с разных IP. Ограничение должно сработать в обоих сценариях. Стабильность — это отсутствие магии, только предсказуемая конфигурация.