DO TEXTO:
Neste artigo, irei contar um pouco como encontrei esta falha que poderia levar a um vazamento de dados e...
Nos últimos meses o vazamento de dados tem ganhado manchetes mundiais. Desta vez, vamos falar do bruto vazamento de cerca de 530 milhões de dados de usuários do Facebook.
“Ultimamente tenho prestado muita atenção a assuntos relacionados à proteção de dados, e me questionei como as empresas estão se adaptando às novas diretrizes que a LGPD vem trazendo desde agosto de 2020.”, menciona o CEO da Codeby, empresa de tecnologia, Fellipe Guimarães.
O profissional resolveu explorar a segurança de um site, com o objetivo de entender o quão difícil seria encontrar uma falha na segurança, e para sua surpresa, não demorou 5 minutos para ter acesso a uma falha gravíssima.
Relato do desenvolvedor:
Neste artigo, irei contar um pouco como encontrei esta falha que poderia levar a um vazamento de dados e até mesmo a penalidade por lei para a empresa. Lembrando que esta exploração teve um objetivo claro e sem más intenções, logo em seguida a empresa foi comunicada para lidarem de forma correta com o erro.
Como encontrei o erro?
Quando falo em exploração, algumas pessoas podem ficar em dúvida sobre o que significa. Basicamente, é uma série de ações e análises de código que permite entender a arquitetura e também encontrar erros como este de segurança.
Nesta exploração, utilizei um software simples para buscar API’s chamado Insomnia. Nele é possível interagir com APIs, sem técnicas muito avançadas.
Com o software instalado em meu computador, iniciei o teste de API’s de um determinado site. Vamos partir do princípio que é a troca de informações, já que é a forma básica de testar a segurança de um site, e onde há maior volume de troca que, normalmente, é através da newsletter, por isso fiz o meu cadastro no site.
Logo, quando finalizei o meu cadastro, recebi o primeiro gatilho de validação de email, através de uma API exposta.
Acessei a documentação da plataforma a qual o site é hospedado e entendi como essa API funciona em um site. Com isso, descobri que a busca por e-mail estava aberta dentro do código, me dando acesso a seguinte api:
/api/dataentities/NS/search?_where=email is not null&_fields=email
Com esta simples informação consegui ter acesso aos dados de todas as pessoas que se cadastraram na newsletter da marca. Fiquei surpreso, pois imaginei que seria mais difícil e elaborado encontrar um erro grave como este.
Assim como foi fácil encontrar este erro, a correção também é rápida através do bloqueio desta API.
Como evitar vazamento de dados em seu site?
Considerando a LGPD, no caso da empresa ser vítima de um vazamento de dados, a responsabilidade será inteiramente da empresa. Nestes casos, pode ser tratado com uma advertência ou multa de 2% sobre o faturamento, dependendo do caso, a atividade pode ser suspensa pela Justiça.
Para evitar falhas na segurança e o vazamento de dados é preciso ter um time técnico que faça testes de segurança periodicamente para encontrar falhas e corrigir erros.
Tenha em mente que quanto mais sistemas envolvidos, maior será a comunicação entre eles, aumentando as chances de existir alguma brecha de segurança. Cabe ao seu arquiteto de segurança entender bem como seu site está funcionando, para não correr riscos de comprometer seus clientes e sua marca.
No caso do Facebook, quem descobriu o problema foi Alon Gal, chefe de tecnologia da Hudson Rock, empresa especializada em cibercrimes. Segundo ele, as infos estavam sendo anunciadas na faixa por um hacker no mercado ilegal da web.
As informações disponíveis incluíam detalhes importantes como nome completo, ID na rede, localização, data de aniversário, endereço de e-mail, número de telefone e status de relacionamento. Os registros se referem a contas de 100 países, entre eles EUA (32 milhões), Reino Unido (11 milhões), Índia (6 milhões) e Brasil (8 milhões).
Codeby
Há mais de 7 anos no mercado de tecnologia, a Codeby contribui diariamente para o crescimento de negócios online de diversos segmentos e portes. Empresa apaixonada por tecnologia, motivada a buscar constantemente as melhores e mais completas soluções através de desenvolvimento de e-commerce, plataformas e funcionalidades. Clientes: Shoulder, Lego, Valisere, CIA. Marítima etc. Países em que a empresa está presente: México, Romênia, Chile, entre outros. Saiba mais: https://codeby.com.br/
Nos últimos meses o vazamento de dados tem ganhado manchetes mundiais. Desta vez, vamos falar do bruto vazamento de cerca de 530 milhões de dados de usuários do Facebook.
“Ultimamente tenho prestado muita atenção a assuntos relacionados à proteção de dados, e me questionei como as empresas estão se adaptando às novas diretrizes que a LGPD vem trazendo desde agosto de 2020.”, menciona o CEO da Codeby, empresa de tecnologia, Fellipe Guimarães.
O profissional resolveu explorar a segurança de um site, com o objetivo de entender o quão difícil seria encontrar uma falha na segurança, e para sua surpresa, não demorou 5 minutos para ter acesso a uma falha gravíssima.
Relato do desenvolvedor:
Neste artigo, irei contar um pouco como encontrei esta falha que poderia levar a um vazamento de dados e até mesmo a penalidade por lei para a empresa. Lembrando que esta exploração teve um objetivo claro e sem más intenções, logo em seguida a empresa foi comunicada para lidarem de forma correta com o erro.
Como encontrei o erro?
Quando falo em exploração, algumas pessoas podem ficar em dúvida sobre o que significa. Basicamente, é uma série de ações e análises de código que permite entender a arquitetura e também encontrar erros como este de segurança.
Nesta exploração, utilizei um software simples para buscar API’s chamado Insomnia. Nele é possível interagir com APIs, sem técnicas muito avançadas.
Com o software instalado em meu computador, iniciei o teste de API’s de um determinado site. Vamos partir do princípio que é a troca de informações, já que é a forma básica de testar a segurança de um site, e onde há maior volume de troca que, normalmente, é através da newsletter, por isso fiz o meu cadastro no site.
Logo, quando finalizei o meu cadastro, recebi o primeiro gatilho de validação de email, através de uma API exposta.
Acessei a documentação da plataforma a qual o site é hospedado e entendi como essa API funciona em um site. Com isso, descobri que a busca por e-mail estava aberta dentro do código, me dando acesso a seguinte api:
/api/dataentities/NS/search?_where=email is not null&_fields=email
Com esta simples informação consegui ter acesso aos dados de todas as pessoas que se cadastraram na newsletter da marca. Fiquei surpreso, pois imaginei que seria mais difícil e elaborado encontrar um erro grave como este.
Assim como foi fácil encontrar este erro, a correção também é rápida através do bloqueio desta API.
Como evitar vazamento de dados em seu site?
Considerando a LGPD, no caso da empresa ser vítima de um vazamento de dados, a responsabilidade será inteiramente da empresa. Nestes casos, pode ser tratado com uma advertência ou multa de 2% sobre o faturamento, dependendo do caso, a atividade pode ser suspensa pela Justiça.
Para evitar falhas na segurança e o vazamento de dados é preciso ter um time técnico que faça testes de segurança periodicamente para encontrar falhas e corrigir erros.
Tenha em mente que quanto mais sistemas envolvidos, maior será a comunicação entre eles, aumentando as chances de existir alguma brecha de segurança. Cabe ao seu arquiteto de segurança entender bem como seu site está funcionando, para não correr riscos de comprometer seus clientes e sua marca.
No caso do Facebook, quem descobriu o problema foi Alon Gal, chefe de tecnologia da Hudson Rock, empresa especializada em cibercrimes. Segundo ele, as infos estavam sendo anunciadas na faixa por um hacker no mercado ilegal da web.
As informações disponíveis incluíam detalhes importantes como nome completo, ID na rede, localização, data de aniversário, endereço de e-mail, número de telefone e status de relacionamento. Os registros se referem a contas de 100 países, entre eles EUA (32 milhões), Reino Unido (11 milhões), Índia (6 milhões) e Brasil (8 milhões).
Codeby
Há mais de 7 anos no mercado de tecnologia, a Codeby contribui diariamente para o crescimento de negócios online de diversos segmentos e portes. Empresa apaixonada por tecnologia, motivada a buscar constantemente as melhores e mais completas soluções através de desenvolvimento de e-commerce, plataformas e funcionalidades. Clientes: Shoulder, Lego, Valisere, CIA. Marítima etc. Países em que a empresa está presente: México, Romênia, Chile, entre outros. Saiba mais: https://codeby.com.br/
📑 ÍNDICE DE ARTIGOS DOS AUTORES DO PORTAL
📑 ÍNDICE DAS PUBLICAÇÕES POR TEMAS
Comentários
Enviar um comentário