No último mês, milhares de sites do WordPress no mundo todo sofreram ataques em que hackers desfiguraram páginas por meio de uma vulnerabilidade de escalação de privilégios que afetou as versões 4.7 e 4.7.1 do publicador.
Segundo o vice-presidente da Varonis para a América Latina, Carlos Rodrigues, o fato de os cibercriminosos não terem tido acesso a informações sensíveis durante os ataques não significa que as empresas devam se preocupar menos com esse tipo de ação.
“Ter seu site desfigurado, além de fazer a empresa perder negócios devido à indisponibilidade de sistemas, também não faz com que seus clientes se sintam receosos em relação às suas práticas de segurança, gerando danos significativos à reputação da empresa”, explica o VP da Varonis.
Os ataques tiveram início após a divulgação de uma falha de segurança pelo WordPress. Apesar de muitos blogs terem feito o upgrade automaticamente para a versão 4.7.2, que corrigia o problema, milhares de sites não se atentaram a essa necessidade e ficaram vulneráveis e não implementaram o patch que solucionava a falha.
Em menos de 48 horas, estima-se que hackers tenham feito mais de 800 mil ataques, tirando proveito de uma série de falhas de segurança que passaram a ser compartilhadas e postadas online – atualmente, o número estimado é de mais de 1,5 milhão de páginas afetadas.
Escritórios de advocacia estão na mira dos cibercriminosos
Um relatório do portal World Trademark Review sugere que, dentre os sites atacados, dezenas deles foram escritórios de advocacia especializados em propriedade intelectual – mesmo que as falhas de segurança divulgadas não dessem acesso a dados ou a informações sensíveis.
“Não precisamos nem nos lembrar do caso do Panamá Papers para entendermos o que acontece com a confiança do cliente quando seus dados são roubados”, exemplifica Carlos Rodrigues, citando o ataque ao escritório de advocacia panamenho Mossack Fonseca, ocorrido em 2016, que resultou no vazamento de 11,5 milhões de documentos confidenciais de clientes, incluindo políticos brasileiros.
“Todos precisam se preocupar com a segurança da informação, incluindo pequenas empresas com sites em WordPress. Infelizmente, vários desses sites continuarão vulneráveis por um bom tempo até que os hackers consigam ir além de simplesmente desfigurar páginas e de fato começar a atingir os clientes”, lamenta o VP da Varonis.
“Os clientes vão buscar outras empresas se souberem que as organizações com as quais fazem negócio sofreram violações de dados ou se sentem que suas informações estão vulneráveis. Um site invadido não vai ajudar em nada na construção dessa confiança”, finaliza Carlos Rodrigues.
