Três lições de segurança de aplicativos da Web a serem lembradas. Semalt Expert sabe como evitar se tornar uma vítima de criminosos cibernéticos

Em 2015, o Instituto Ponemon divulgou as conclusões de um estudo "Custo do crime cibernético", que eles haviam realizado. Não foi surpresa que o custo do crime cibernético estivesse aumentando. No entanto, os números eram gagos. A Cybersecurity Ventures (conglomerado global) projeta que esse custo chegará a US $ 6 trilhões por ano. Em média, uma organização leva 31 dias para se recuperar após um crime cibernético, com o custo da reparação em cerca de US $ 639 500.

Você sabia que a negação de serviço (ataques DDOS), violações na Web e usuários maliciosos representam 55% de todos os custos de crimes cibernéticos? Isso não apenas representa uma ameaça aos seus dados, mas também pode fazer você perder receita.

Frank Abagnale, gerente de sucesso do cliente da Semalt Digital Services, oferece considerar os três casos a seguir de violações feitas em 2016.

Primeiro caso: Mossack-Fonseca (The Panama Papers)

O escândalo do Panama Papers foi destaque em 2015, mas devido aos milhões de documentos que precisavam ser analisados, foi divulgado em 2016. O vazamento revelou como políticos, ricos empresários, celebridades e o creme de la creme da sociedade armazenavam seu dinheiro em contas offshore. Muitas vezes, isso era sombrio e cruzava a linha ética. Embora a Mossack-Fonseca fosse uma organização especializada em sigilo, sua estratégia de segurança da informação era quase inexistente. Para começar, o plug-in de slides de imagens do WordPress que eles usavam estava desatualizado. Em segundo lugar, eles usaram um Drupal de 3 anos com vulnerabilidades conhecidas. Surpreendentemente, os administradores de sistema da organização nunca resolvem esses problemas.

Lições:

  • > sempre verifique se suas plataformas, plugins e temas do CMS são atualizados regularmente.
  • > fique atualizado com as mais recentes ameaças de segurança do CMS. Joomla, Drupal, WordPress e outros serviços têm bancos de dados para isso.
  • > verifique todos os plug-ins antes de implementá-los e ativá-los

Segundo caso: foto do perfil do PayPal

Florian Courtial (um engenheiro de software francês) encontrou uma vulnerabilidade de CSRF (falsificação de solicitação entre sites) no site mais recente do PayPal, PayPal.me. A gigante global de pagamentos on-line apresentou o PayPal.me para facilitar pagamentos mais rápidos. No entanto, o PayPal.me pode ser explorado. Florian conseguiu editar e até remover o token CSRF, atualizando a imagem do perfil do usuário. Como era, qualquer um poderia se passar por outra pessoa, colocando sua foto on-line, por exemplo, no Facebook.

Lições:

  • > utilizar tokens CSRF exclusivos para os usuários - eles devem ser exclusivos e alterados sempre que o usuário efetuar login.
  • > token por solicitação - além do ponto acima, esses tokens também devem ser disponibilizados quando o usuário solicitar. Fornece proteção adicional.
  • > tempo limite - reduz a vulnerabilidade se a conta permanecer inativa por algum tempo.

Terceiro caso: o Ministério de Relações Exteriores da Rússia enfrenta um constrangimento com o XSS

Embora a maioria dos ataques na Web pretenda causar estragos na receita, na reputação e no tráfego de uma organização, alguns destinam-se a constranger. Caso em questão, o hack que nunca aconteceu na Rússia. Foi o que aconteceu: um hacker americano (apelidado de Jester) explorou a vulnerabilidade de script entre sites (XSS) que ele viu no site do Ministério de Relações Exteriores da Rússia. O bobo da corte criou um site fictício que imitava as perspectivas do site oficial, exceto a manchete, que ele personalizava para zombar deles.

Lições:

  • > limpar a marcação HTML
  • > não insira dados, a menos que você os verifique
  • > use um escape de JavaScript antes de inserir dados não confiáveis nos valores de dados do idioma (JavaScript)
  • > proteja-se das vulnerabilidades XSS baseadas em DOM

mass gmail