Vazamento de dados: a culpa (nem sempre) é do parceiro

Nos últimos meses tem sido comum notícias de exposição de informações e muitas das empresas alegam que a origem foi uma falha em API de parceiro, mas nem sempre é essa a realidade.

Compartilhar:

Sem dúvida, o volume de notícias sobre vazamento de dados cresceu em 2019. De acordo com um estudo global da IBM sobre privacidade feito em 11 países, com cerca de 11 mil pessoas, indica que há uma insatisfação com a maneira com que as empresas lidam com suas informações. No Brasil, 96% dos consumidores concordam que as organizações devem melhorar a proteção dos dados. A pesquisa revela, ainda, que de cada 10 brasileiros, seis sofreram algum tipo de vazamento de dados.

 

Entre as respostas aos incidentes enviados para a imprensa, o mais comum é justificar com uma falha gerada por um parceiro. A questão é que há diversas maneiras de uma vulnerabilidade ter sido, de fato, originada pelo parceiro. Com a LGPD, essa questão será tratada com medidas severas, desde multas aos terceiros até rescisão de contratos. Mas, será que a culpa é realmente do parceiro ou foi uma falha interna?

 

Nesse sentido, as empresas devem olhar para as cinco camadas onde podem gerar possíveis vulnerabilidades: na Web, falha no código fonte das aplicações (tanto no ambiente web quanto mobile), arquitetura dos sistemas, infraestrutura e atualizações de softwares. Parece simples, mas não é.

 

Segundo o  country manager da Genexus no Brasil, Ricardo Recchi, quando alguém desenvolve um app para a Web normalmente é para um ambiente que já existe na empresa ou numa instalação na nuvem ou externo. “Nesse cenário, há milhares de possíveis vulnerabilidades, seja na infraestrutura da empresa e isso é bastante comum. O Nessus, por exemplo, tem uma base capaz de aplicar e ele produz um relatório com vários níveis de vulnerabilidades. Se sou um cara mal intencionado, pego isso de um determinado site e uso a técnica para invadir um website”.

 

Há soluções que também investigam a vulnerabilidade do código fonte das aplicações, tanto na web quanto mobile. A questão é que geram muito falso positivo”, comenta Recchi quando aponta um certo cuidado com notícias que são publicadas na mídia. “Há muita fakenews”.

 

Ele aponta, ainda, para questões de gestão de acesso aos sistemas, uma vez que os mecanismos internos de autenticação de segurança devem ser constantemente verificados. “Imagina alguém do departamento de compras que foi para contas a pagar. Deram todas as permissões para o novo cargo e no antigo ainda tinha permissão. Esse profissional pode se aborrecer com alguma coisa em relação à empresa e combina com um fornecedor externo para roubar dados em troca de dinheiro da empresa”. Recchi sinaliza que essa é a quarta camada que as empresas devem se preocupar com a segurança.

 

Na visão dele, tanto a infraestrutura quanto a gestão de identidade são as camadas mais sensíveis, as outras duas do meio também são essenciais. “Por último vem a vulnerabilidade de como o software é construído. A Genexus oferece toda a biblioteca com as melhores práticas. No entanto, o desenvolvedor pode ou não usar. Recentemente, um parceiro nosso desenvolveu uma solução para um cliente de uma grande empresa multinacional e este encontrou seis vulnerabilidades na aplicação. A Genexus enviou para o seu laboratório e todos os pontos detectados foram falsos positivos. Por exemplo, API de geolocalização. Quando você usa a geolocalização o Google apresenta alguma vulnerabilidade. Se houver algum software que acusa essas coisas, não significa que seja um problema”.

 

No entanto, o problema é quando o parceiro desenvolve o código na mão sem processo preventivo. “No nosso caso, usamos o Low Code, permitindo que o desenvolvedor escreva pouco e o código é constantemente atualizado em nosso laboratório com as melhores práticas de teste de vulnerabilidade”.

 

Recchi acredita que de todas as camadas que devem seguir as melhores práticas de segurança, a quarta é a mais comum de colocar a culpa no terceiro porque cada vez mais elas são terceirizadas.

 

Finalmente, a falta de atualização de versões de sistemas, como upgrade nos servidores de sistemas operacionais, banco de dados, etc. é um alto risco para oferecer brechas aos cibercriminosos, abrindo caminho para o envio de ransomware usando, ainda, técnicas de engenharia social.

Conteúdos Relacionados

Security Report | Destaques

ANPD mantém proibição de pagamento por coleta de íris

A Tools For Humanity, responsável pelo projeto World ID para coletar dados biométricos mediante pagamento aos titulares, enviou um recurso...
Security Report | Destaques

ANPD anuncia processo sancionador contra grupo RaiaDrogasil

Nova ação é resultado da investigação movida pela autoridade desde maio de 2023, para apurar suposta venda de publicidade direcionada...
Security Report | Destaques

Dataprev investiga suposto comprometimento de dados no INSS

Nesta semana, circularam nas redes informação de que o sistema de Comunicação de Acidente de Trabalho (CAT), ligado ao instituto...
Security Report | Destaques

Aarin Tech-Fin renova estratégia de borda baseada em confiança zero

Proteger o acesso às APIs críticas para a operação empresarial era um dos grandes desafios encarados pela companhia de serviços...