0
0
A Grab deve reavaliar sua estrutura de segurança cibernética, especialmente depois que a plataforma de aplicativos móveis relatou uma série de violações que comprometeram os dados de seus clientes. O último incidente de segurança levou a Comissão de Proteção de Dados Pessoais (PDPC) de Cingapura a impor uma multa de US$ 10.000 (US$ 7.325) e ordenar uma revisão das políticas de proteção de dados da empresa dentro de 120 dias.
A violação de 30 de agosto de 2019 veio à tona quando a Grab informou ao PDPC que as mudanças feitas em seu aplicativo móvel resultaram no acesso não autorizado de seus motoristas. Investigações posteriores revelaram que informações pessoais de 21.541 motoristas e passageiros do GrabHitch foram expostas ao risco de acesso não autorizado, incluindo números de veículos, nomes de passageiros e saldo de carteira eletrônica que compreende um histórico de pagamentos de carona.
A Grab havia implantado uma atualização para conectar uma potencial vulnerabilidade em sua API (interface de programação de aplicativos), mas isso resultou na violação de dados.
Em seu relatório, o PDPC observou que a Grab fez alterações em seus sistemas sem garantir que “arranjos de segurança razoáveis” fossem colocados em prática para evitar qualquer comprometimento dos conjuntos de dados pessoais. A falta de processos suficientemente robustos para gerenciar mudanças em seus sistemas de TI foi um “erro particularmente grave” já que foi a segunda vez que o fornecedor cometeu um erro semelhante, com o primeiro afetando um sistema diferente.
A comissão observou que a Grab fez alterações em seu aplicativo sem entender como tais modificações funcionariam com recursos existentes de seu aplicativo e seu sistema de TI mais amplo.
Ela também não realizou testes adequados de escopo antes de implantar atualizações em seu aplicativo, disse o PDPC, observando que as organizações eram obrigadas a fazê-lo antes de introduzir novos recursos de TI ou mudanças em seus sistemas. “Esses testes precisam imitar o uso do mundo real, incluindo cenários previsíveis em um ambiente operacional normal quando as mudanças são introduzidas. Esses testes antes da implantação são fundamentais para permitir que as organizações detectem e retifiquem erros nos novos recursos de TI e/ou sejam alertados sobre quaisquer efeitos não intencionais de alterações que possam colocar os dados pessoais em risco”, disse a comissão.
Ele acrescentou que grab admitiu que não realizou testes para simular vários usuários acessando seu aplicativo ou testes específicos para verificar como o mecanismo de cache – que foi o componente que resultou na violação – funcionaria em conjunto com a atualização.
Ressaltando o fato de que a empresa já havia violado a Seção 24 no PDPA de Cingapura quatro vezes, o PDPC disse que isso era “motivo significativo de preocupação” especialmente dado que os negócios da Grab envolviam o processamento de grandes volumes de dados pessoais diariamente. A Seção 24 descreve a necessidade de as organizações protegerem os dados pessoais em sua posse ou sob seu controle, fazendo “arranjos de segurança razoáveis” para evitar acesso, coleta, uso, divulgação não autorizados, cópia, modificação ou riscos semelhantes.
A Grab, com sede em Cingapura, que começou como operadora de compartilhamento de caronas, agora oferece um portfólio de serviços que inclui entrega de alimentos, pagamentos digitais e seguros. Também anunciou sua oferta por uma licença de banco digital, ao lado da parceira Singtel,em Cingapura,onde ambas as empresas teriam como alvo consumidores “digitais em primeiro lugar” e pequenas e médias empresas. A parceria levaria a uma entidade conjunta, na qual grab teria uma participação de 60%. A Grab tem operações em oito mercados da Ásia-Pacífico, incluindo Indonésia, Malásia, Tailândia e Vietnã.
Além da multa, o PDPC também instruiu a Grab a colocá-la em uma “política de proteção de dados por design” para seus aplicativos móveis no prazo de 120 dias, a fim de reduzir o risco de outra violação de dados.
A ZDNet fez várias perguntas, incluindo áreas específicas que a empresa planejava revisar, políticas de segurança que colocou em prática após a violação inicial e medidas que havia tomado para garantir que a segurança fosse incorporada em seus diversos processos à medida que a empresa introduzia novos serviços nos últimos anos.
Ele não respondeu a nenhuma dessas perguntas e, em vez disso, respondeu com uma declaração que havia divulgado anteriormente: “A segurança dos dados e a privacidade de nossos usuários é de extrema importância para nós e lamentamos desapontá-los. Quando o incidente foi descoberto em 30 de agosto de 2019, tomamos medidas imediatas para proteger os dados de nossos usuários e reportamos ao PDPC. Para evitar uma recorrência, desde então introduzimos processos mais robustos, especialmente relativos aos nossos testes no ambiente de TI, juntamente com procedimentos de governança atualizados e uma revisão de arquitetura de nossos aplicativos legados e códigos-fonte.”
Política de dados que precisa de “revisão séria”
Que ele violou o PDPA quatro vezes desde 2018, parecia indicar que grab estava precisando de uma “revisão séria”, observou Ian Hall, gerente de serviços ao cliente do Synopsys Software Integrity Group. Em particular, a empresa deve avaliar seus processos de liberação, onde os testes e pontos de verificação necessários devem ser aprovados antes do lançamento de seu aplicativo.
Citando um estudo do Enterprise Strategy Group, ele observou que era comum que códigos vulneráveis fossem movidos para a produção, normalmente devido à necessidade de uma empresa cumprir prazos.
Aaron Bugal, engenheiro global de soluções da Sophos, concordou, observando que os pincéis de Grab com segurança eram “um exemplo clássico” de uma organização que estava se expandindo rapidamente,mas não escalando suas políticas de segurança e controles técnicos proporcionalmente. “Dado que este é outro problema com seu aplicativo em dispositivos móveis, seria sábio olhar para um serviço de terceiros que avalia a segurança do aplicativo antes de seu lançamento”, disse Bugal à ZDNet em uma entrevista por e-mail.
Questionado se era desafiador para empresas como a Grab, que havia expandido rapidamente seu portfólio de serviços, para garantir que a segurança permanecesse robusta, Hall disse que certamente seria mais difícil manter aplicativos cada vez mais complexos que cobrissem uma ampla gama de funcionalidades.
Ele explicou que certas seções de código legado podem não ser atualizadas com tanta frequência quanto códigos mais novos e, ao mesmo tempo, códigos mais novos também podem introduzir novas vulnerabilidades.
“Os desenvolvedores podem tendem a concentrar seus esforços em códigos mais novos e voltar a corrigir uma vulnerabilidade nas partes de código legado pode ser mais difícil”, disse ele. “É por isso que é sempre melhor encontrar e corrigir problemas no início do ciclo de vida do desenvolvimento e para que as ferramentas de segurança estejam bem integradas aos processos de desenvolvimento.”
Bugal observou que mais dados de clientes seriam capturados à medida que as organizações aumentassem seus negócios, e as medidas de segurança deveriam ser dimensionadas ao lado do aplicativo e dos dados coletados.
Ele acrescentou que qualquer alteração no modelo operacional de uma empresa deve incorporar uma arquitetura de segurança a partir das etapas conceituais. “Isso não é algo que é retrospectivamente aparafusado, ou pensado, uma vez que as mudanças são lançadas”, disse ele.
De acordo com Hall, os desenvolvedores frequentemente introduziam vulnerabilidades inadvertidamente porque não eram especialistas em segurança. Ele observou que algumas das vulnerabilidades mais comuns surgiram do uso inadequado das plataformas móveis iOS do Google ou da Apple, armazenamento de dados inseguro e comunicação insegura.
Bugal acrescentou que várias organizações também usaram ferramentas de desenvolvimento desatualizadas e não implementariam serviços que avaliavam as bibliotecas e o código compartilhado que muitos aplicativos usavam como base. “Às vezes, isso pode introduzir vulnerabilidades em um aplicativo sem culpa do desenvolvedor do aplicativo”, explicou. “O uso de ambientes de desenvolvimento modernizados e incluindo projetos de segurança e avaliações de aplicações durante as fases de formação e liberação são fundamentais para uma melhor segurança.”
Ele observou que as mudanças nos aplicativos móveis normalmente eram automaticamente aceitas pelas fachadas das lojas de aplicativos e aplicadas a dispositivos móveis após seu lançamento, deixando os consumidores móveis “à mercê do desenvolvedor para fazer a coisa certa” no que diz respeito ao design de aplicativos e segurança geral.
“Como consumidores, devemos entender quais dados uma organização está coletando, como eles armazenam e entender o risco se esses dados vazarem”, disse ele.
Hall acrescentou: “Eu recomendaria que os usuários de dispositivos móveis e outros mantenham seus aplicativos e sistemas operacionais atualizados. Além disso, use aplicativos e fornecendo dados pessoais apenas para empresas e aplicativos em quem você confia. Na plataforma Android, podemos desativar permissões específicas em aplicativos que não devem ter acesso a eles.”
FONTE: ZDNET