Uberlândia - MG
+55 (34) 3016-0600

Vazamento de dados é o novo normal no mercado tecnológico?

Vazamento de dados é o novo normal no mercado tecnológico?

Analisando o fluxo de notícias nos últimos tempos envolvendo vazamento de dados em pequenas, médias e grandes empresas, você sabe os motivos que envolvem a maioria deles? Irei abordar os mais importantes no meu ponto de vista nessa postagem.

Como alguém “vaza” dados?

Vazamento de dados é o novo normal no mercado tecnológico?

Começando em uma visão simplista, o vazamento de dados ocorre por um interesse externo (hacker / cracker) em analisar as vulnerabilidades de tal site ou sistema com fins de obter dados para a venda no mercado paralelo ou simplesmente para “manchar” a imagem da empresa (em alguns casos vindo da concorrência).

Atualmente no mercado de desenvolvimento tecnológico temos uma fragmentação razoável de tecnologias, sendo que cada vez mais empresas novas e antigas se “arriscam” utilizando novas metodologias de implementação muitas vezes sem entender corretamente o funcionamento ponta a ponta.

O “Arriscam” citado se dá ao nível de maturidade que a empresa tem com determinada tecnologia, além do nível de maturidade da própria tecnologia propriamente dita.

Com esse risco, soluções são criadas a fins de resolverem os problemas das empresas potencialmente melhorando o funcionamento dos processos e até do próprio desenvolvimento, além de disponibilizar uma melhor experiência para o usuário, porém a vulnerabilidade começa quando uma solução é disponibilizada sem um processo de teste de vulnerabilidades tecnológico e de negócio evolutivo, onde pessoas mal intencionadas podem se aproveitar de brechas tanto da plataforma utilizada para o desenvolvimento quanto no próprio desenvolvimento realizado dentro desta plataforma.

Qual a diferença entre vulnerabilidades de negócio e vulnerabilidades tecnológicas?

Vazamento de dados é o novo normal no mercado tecnológico?

Primeiro iremos entender o conceito: Tudo que é negócio vem de uma regra sistêmica criada por um indivíduo (desenvolvedor), enquanto tudo que um desenvolvedor escreve está apoiado dentro de uma tecnologia, esses dois pilares são diferentes porém são dependentes e conectados.

Imagine que um requisito foi desenvolvido onde a necessidade era: “Faça um módulo que mostre as pessoas próximas, porém que não revele a identidade da mesma”.

Para o desenvolvedor o “óbvio” foi entregue e validado pelo time de teste, porém por “trás dos panos” todos os dados das pessoas próximas são revelados, isso é uma vulnerabilidade de negócio, ou seja, o “culpado” foi quem desenvolveu / requisitou / testou.

Outra vulnerabilidade de negócio se dá quando uma determinada tecnologia (ou plataforma) é configurada incorretamente e potencialmente é vulnerável a acesso não autorizado, por exemplo: Usuário e senha admin / 123 – É um problema que poderia não ter acontecido caso alguém proativamente identificasse essa questão antes de liberar para produção.

Uma vulnerabilidade tecnológica (ou de plataforma) pode ser caracterizada quando existem falhas na plataforma que de alguma forma libera acessos restritos a usuários não autorizados por meio de uma vulnerabilidade existente.

Existe um termo chamado CVE (Common Vulnerabilities and Exposures) – Que classifica as vulnerabilidades e a gravidade das mesmas conforme o nível de ruptura do sistema envolvido.

Qual o motivo de empresas de diversos portes sofrerem por esse tipo de problema?

Vazamento de dados é o novo normal no mercado tecnológico?

Alguns motivos simples levam a empresas de todos os portes sofrerem do mesmo problema: A falta de dedicação e motivação para manter um time de pesquisadores focados em falhas de segurança ativos, além de urgência nas entregas e o “pular” de diversos passos de uma arquitetura de software.

Atualmente existem testes automatizados e milhares de scripts que buscam por vulnerabilidades (famoso PenTest automatizado) que inclusive muitas empresas tem como padrão executa-los em rotinas de liberação, porém eles buscam o óbvio e não o lógico. Para realizar um teste automatizado de vulnerabilidades focado em vazamento de dados é necessário um pesquisador que entende de todos os pilares do sistema envolvido, incluindo a regra de negócio e pontos fracos do sistema. Tecnicamente falando, não é necessário “entender” o funcionamento interno do sistema, porém isso adianta e muito o trabalho.

O que se observa no mercado é um descontrole nesse tipo de tema, mesmo o Brasil estando a um passo da LGPD (Lei Geral de Proteção de Dados) que punirá arduamente empresas vítimas de vazamento de dados.

Como consequência da falta de compliance envolvendo a estrutura do sistema, temos a ocorrência de vazamento de milhões de dados por dia com esse tipo de problema que poderia ser resolvido de formas relativamente simples.

É “fácil” encontrar uma vulnerabilidade?

Vazamento de dados é o novo normal no mercado tecnológico?

Vamos lá: Entendendo os motivos da maioria dos vazamentos de dados existentes, eles tem algo em comum: Poderiam facilmente serem evitados.

Estamos falando de vulnerabilidades grandes com motivos pífios, tais como autenticação livre em pontos críticos do sistema que jamais poderiam estarem abertos ao público, falhas de negócio que expõe dados sensíveis e não autorizados (tais como no exemplo que citei) até banco de dados abertos ao público (levando a oportunidade de “dump” total dos dados) etc.

As maiores empresas do mundo oferecem recompensas para quem encontrar vulnerabilidades (“bug bounty”) nas regras descritas, segue um exemplo popular de plataforma nesse sentido: https://www.bugcrowd.com/bug-bounty-list/

Isso significa que nem as grandes empresas estão imunes a esse tipo de problema e é nesse sentido que notamos que é preciso investir em segurança, porém no Brasil principalmente esse tipo de requisito cada vez mais é o “último da lista”.

Como posso mitigar esses problemas?

Vazamento de dados é o novo normal no mercado tecnológico?

Nós da AAG Soluções trabalhamos com consultoria de ponta para identificação de vulnerabilidades e correções, o nosso diferencial como empresa de soluções empresariais é abranger todas as pontas do paradigma “segurança da informação”, que está tanto na forma como um software é desenvolvido quanto na maneira como se comunica e troca informações.

Entre em contato e solicite uma consultoria gratuita sob medida para o seu negócio:

Conteúdo 100% autoral, baseado em experiências e fatos reais.

Escrito por Michel Oliveira, CEO da AAG Soluções em 2 de Agosto de 2020.

Fontes: http://aag.solutions/