Vazamento de dados: a culpa (nem sempre) é do parceiro

Nos últimos meses tem sido comum notícias de exposição de informações e muitas das empresas alegam que a origem foi uma falha em API de parceiro, mas nem sempre é essa a realidade.

Compartilhar:

Sem dúvida, o volume de notícias sobre vazamento de dados cresceu em 2019. De acordo com um estudo global da IBM sobre privacidade feito em 11 países, com cerca de 11 mil pessoas, indica que há uma insatisfação com a maneira com que as empresas lidam com suas informações. No Brasil, 96% dos consumidores concordam que as organizações devem melhorar a proteção dos dados. A pesquisa revela, ainda, que de cada 10 brasileiros, seis sofreram algum tipo de vazamento de dados.

 

Entre as respostas aos incidentes enviados para a imprensa, o mais comum é justificar com uma falha gerada por um parceiro. A questão é que há diversas maneiras de uma vulnerabilidade ter sido, de fato, originada pelo parceiro. Com a LGPD, essa questão será tratada com medidas severas, desde multas aos terceiros até rescisão de contratos. Mas, será que a culpa é realmente do parceiro ou foi uma falha interna?

 

Nesse sentido, as empresas devem olhar para as cinco camadas onde podem gerar possíveis vulnerabilidades: na Web, falha no código fonte das aplicações (tanto no ambiente web quanto mobile), arquitetura dos sistemas, infraestrutura e atualizações de softwares. Parece simples, mas não é.

 

Segundo o  country manager da Genexus no Brasil, Ricardo Recchi, quando alguém desenvolve um app para a Web normalmente é para um ambiente que já existe na empresa ou numa instalação na nuvem ou externo. “Nesse cenário, há milhares de possíveis vulnerabilidades, seja na infraestrutura da empresa e isso é bastante comum. O Nessus, por exemplo, tem uma base capaz de aplicar e ele produz um relatório com vários níveis de vulnerabilidades. Se sou um cara mal intencionado, pego isso de um determinado site e uso a técnica para invadir um website”.

 

Há soluções que também investigam a vulnerabilidade do código fonte das aplicações, tanto na web quanto mobile. A questão é que geram muito falso positivo”, comenta Recchi quando aponta um certo cuidado com notícias que são publicadas na mídia. “Há muita fakenews”.

 

Ele aponta, ainda, para questões de gestão de acesso aos sistemas, uma vez que os mecanismos internos de autenticação de segurança devem ser constantemente verificados. “Imagina alguém do departamento de compras que foi para contas a pagar. Deram todas as permissões para o novo cargo e no antigo ainda tinha permissão. Esse profissional pode se aborrecer com alguma coisa em relação à empresa e combina com um fornecedor externo para roubar dados em troca de dinheiro da empresa”. Recchi sinaliza que essa é a quarta camada que as empresas devem se preocupar com a segurança.

 

Na visão dele, tanto a infraestrutura quanto a gestão de identidade são as camadas mais sensíveis, as outras duas do meio também são essenciais. “Por último vem a vulnerabilidade de como o software é construído. A Genexus oferece toda a biblioteca com as melhores práticas. No entanto, o desenvolvedor pode ou não usar. Recentemente, um parceiro nosso desenvolveu uma solução para um cliente de uma grande empresa multinacional e este encontrou seis vulnerabilidades na aplicação. A Genexus enviou para o seu laboratório e todos os pontos detectados foram falsos positivos. Por exemplo, API de geolocalização. Quando você usa a geolocalização o Google apresenta alguma vulnerabilidade. Se houver algum software que acusa essas coisas, não significa que seja um problema”.

 

No entanto, o problema é quando o parceiro desenvolve o código na mão sem processo preventivo. “No nosso caso, usamos o Low Code, permitindo que o desenvolvedor escreva pouco e o código é constantemente atualizado em nosso laboratório com as melhores práticas de teste de vulnerabilidade”.

 

Recchi acredita que de todas as camadas que devem seguir as melhores práticas de segurança, a quarta é a mais comum de colocar a culpa no terceiro porque cada vez mais elas são terceirizadas.

 

Finalmente, a falta de atualização de versões de sistemas, como upgrade nos servidores de sistemas operacionais, banco de dados, etc. é um alto risco para oferecer brechas aos cibercriminosos, abrindo caminho para o envio de ransomware usando, ainda, técnicas de engenharia social.

Conteúdos Relacionados

Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...
Security Report | Destaques

Ataque de ransomware trouxe nova realidade de acessos gerenciados ao STJ

Uma das instâncias mais altas do Judiciário brasileiro sofreu um grave incidente cibernético há quatro anos, levando a instituição a...
Security Report | Destaques

“Apenas o cargo não faz um C-Level”, afirma Leonardo Muroya

Em entrevista à Security Report, um dos CISOs mais influentes do mercado de SI e, agora, CEO da Vultus Cybersecurity,...