Кейс: защита API от автоматического сбора данных

1. Была проблема

У интернет-магазина с мобильным приложением фиксировался регулярный автоматический доступ к API. Через него собирались коммерчески значимые данные, минуя сайт и пользовательский интерфейс.

API уязвимо для парсинга

Наблюдались устойчивые признаки автоматического клиента:

• одинаковое количество одновременных подключений,
• цикличный повторяющийся обход API,
• круглосуточные равномерные запросы, несвойственные обычному трафику,
• блокировка IP и аккаунтов не давала результата — адреса постоянно обновлялись.

2. Проверили гипотезу

Для оценки уязвимости была проведена внутренняя симуляция:

• разработчик написал простой скрипт,
• за несколько запросов получил полный набор данных,
• структура ответов была простой, полной и удобной для автоматического использования.

Вывод: API отдавал чистые и полностью пригодные данные для регулярного парсинга.

3. Что внедрили

С помощью AntiParser были настроены механизмы:

• динамически изменяющаяся структура выдачи,
• искажение части данных — так, чтобы автоматические системы считали их корректными.

Реализация не затронула работу реальных пользователей и не повлияла на стабильность мобильного приложения.

4. Что изменилось

Повторный тест тем же скриптом показал:

• структура ответов изменилась,
• значительная часть данных искажена,
• пройти каталог корректно стало невозможно.

Фактическая точность сбора: менее 5% совпадений с реальными значениями.

5. После внедрения в прод

Через месяц наблюдения:

• цикличный пул запросов исчез,
• автоматический трафик больше не фиксировался.

6. Результаты для бизнеса

После внедрения AntiParser:

• паразитный трафик устранён,
• API перестал быть причиной утечки коммерческих данных.

AntiParser остановил автоматический доступ к данным и стабилизировал контроль над ключевыми показателями, не влияя на пользователей и производительность.