This post is also available in: Português
Segundo um novo estudo internacional, um site possui em média 32 programas JavaScript oriundos de terceiros, como o Google Analytics e outros plug-ins. Eles podem colocar à mercê de problemas como quebra de formulários, a criação de scripts e outros ataques, conforme mostra a pesquisa.
É o que diz o relatório divulgado pela Tala Security, que descobriu que esse tipo de ataque explora integrações vulneráveis de JavaScript em cerca de 99% dos sites. E enquanto 30% dos sites analisados implementaram novas políticas de segurança – um aumento de 10% em relação a 2019 – apenas 1,1% dos sites possui métodos de segurança eficazes, o que representa um declínio de 11% em relação ao ano passado. Ou seja, o volume de implantação pode até ter aumentado, mas eficácia diminuiu bastante.
Sem controles eficientes, vários códigos em execução na maioria dos sites podem modificar, roubar ou vazar informações – quando executados por JavaScript. Esses ataques são poderosos nas mãos de hackers porque, uma vez que atacam uma ferramenta de terceiros, eles podem explorá-la em qualquer outro site em que essa ferramenta seja implantada. É como descobrir os meios de desativar alarmes de carros fabricados por uma mesma empresa – todos os automóveis com ele ficam vulneráveis, independente de qual seja a montadora, pois o sistema de segurança é comum a muitas delas.
Em diversos casos, esse vazamento de dados ocorre por aplicativos legítimos na lista de permissões, sem o conhecimento do proprietário do site. O relatório constatou que o risco está em toda parte, e os controles efetivos raramente são aplicados.
O estudo, que acompanhou o padrão de segurança dos 1.000 principais sites da Alexa, aponta que cada um em média inclui conteúdo de 32 programas JavaScript de terceiros, um pouco acima do que era visto em 2019.
Ameaças do tipo ressaltam o fato de que fornecedores de JavaScript de terceiros estão mais abertos a ataques do que se imaginava. Esses mesmos fornecedores têm sido muito agressivos com a coleta de dados do usuário – algo que traz preocupações às empresas de comércio eletrônico. Afinal, em breve estarão sujeitas à Lei Geral de Proteção de Dados – por diversos motivos, algumas já estão, em maior ou menor grau.
Hank Schless, gerente sênior de soluções de segurança da Lookout, observa que os dados mostram que abrir as plataformas de uma empresa para terceiros apresenta riscos que jamais devem ser subestimados.
“Com a privacidade sendo o foco principal, as equipes de segurança precisam avaliar adequadamente a postura de todos os parceiros, antes de fornecer acesso aos dados de seus clientes”, diz Schless. Já Thomas Hatch, co-fundador da SaltStack, diz estar preocupado com os declínios relatados.
“Isso só mostra que há questões fundamentais sobre a segurança digital que ainda não foram atendidas”, diz Hatch. “Esses tipos de ataques e vulnerabilidades não são novos, mas estão mais presentes do que nunca. Se quisermos superar esses problemas, precisamos repensar a maneira como implantamos nossos softwares, repensar como protegemos nossos aplicativos e repensar como gerenciamos, contribuímos e damos suporte à grande variedade de projetos de código aberto nos quais a Web é construída”, conclui o executivo.
This post is also available in: Português
