0
0
A Source Defense anunciou os resultados de um estudo que, pela primeira vez, dimensiona os riscos de segurança, privacidade e conformidade que são literalmente projetados nas cadeias de suprimentos digitais dos principais sites de negócios.
Esse risco, originário de scripts e códigos altamente dinâmicos e imprevisíveis de terceiros e além, permeia todos os aspectos da presença web de uma empresa. No geral, este relatório lança luz sobre um risco lamentavelmente subestimado que mais famosamente resultou no roubo de informações financeiras e pessoais para mais de 400.000 passageiros da British Airways em 2018, e resultou nas maiores multas já aplicadas pelo Escritório do Comissário britânico de Informações (ICO).
As organizações que coletam informações confidenciais, permitem transações comerciais ou realizam comércio através de suas propriedades web, estão sob risco constante de ataque. O ritmo da atividade adversária só está aumentando à medida que as empresas de varejo e e-commerce desfrutam de um crescimento exponencial, à medida que as necessidades de viagens e hospedagem aumentam após a pandemia, e à medida que as transações de saúde e serviços financeiros se movem em funções mais críticas e sensíveis on-line.
As descobertas do relatório top de linha descobriram uma média de 15 scripts gerados externamente em cada site, com uma média de 12 scripts especificamente em páginas sensíveis. Os serviços financeiros foram os mais expostos na vertical, com quase 60% mais scripts em média residentes em páginas sensíveis, e o dobro do número por página no geral, com o triplo da quantidade de scripts de terceiros.
Riscos escondidos nas cadeias de suprimentos digitais
Os dados são provenientes de uma análise de 4.300 dos maiores sites do mundo nas verticais mais prevalentes durante o primeiro trimestre de 2022 para identificar problemas de segurança e conformidade que estão escondidos na cadeia de suprimentos digitais do site. A empresa mapeou a expansão preocupante de scripts de terceiros e quartos em cada site, em páginas individuais – incluindo páginas sensíveis que entram em contato com PII, dados financeiros, etc. – e o uso e variância entre as verticais mais prevalentes.
“Embora as violações de varejo e cartão de crédito sejam as mais manchetes, este é um risco generalizado e relativamente descontrolado para a segurança e a privacidade em todas as verticais”, disse Dan Dinnar, CEO da Source Defense.
“É também uma questão de rápido crescimento e extremamente volátil no que diz respeito a dados confidenciais. As organizações e seus parceiros da cadeia de suprimentos digital estão constantemente atualizando sites e códigos, e os dados de maior valor para atores mal-intencionados são coletados nas páginas onde o negócio tem a maior necessidade de análise, gerenciamento de etiquetas e outros recursos de rastreamento e gerenciamento.”
Bibliotecas extensas de scripts de terceiros estão disponíveis gratuitamente, ou a baixo custo, de uma variedade de comunidades, organizações e até indivíduos, e são extremamente populares, pois permitem que as equipes de desenvolvimento adicionem rapidamente funcionalidade avançada aos aplicativos sem o ônus de criá-los e mantê-los. Esses pacotes também geralmente contêm códigos de partes adicionais mais afastadas – e mais distantes da alçada da organização de implantação.
Piorando as coisas, eles operam remotamente a partir de um servidor pertencente a terceiros, para fornecer tudo, desde conexões de mídia social até rastreamento/análise de marketing. Se um script foi comprometido, o código de sombra vem com ele e vai direto para o navegador sem defesas organizacionais capazes de detectá-lo. A partir daí, os scripts podem exfiltrar dados para servidores remotos, redirecionar usuários para sites maliciosos ou estabelecer as bases para o roubo de formulários, skimming digital e ataques de coleta de credenciais.
Riscos adicionais encontrados
- 49% de todos os sites tinham código externo presente com a capacidade de recuperar a entrada de formulário e “ouvir” cliques de botão do usuário, e mais de um em cada cinco sites tinha código externo com a capacidade de modificar formulários.
- Em média, um em cada quatro scripts representava código de quarto partido, assim como cada um em cada cinco scripts em páginas individuais.
- Por página, a análise encontrou uma média de cinco scripts, com pelo menos um roteiro de quarta parte. O número era muito maior em páginas sensíveis, em média 12 scripts externos em contato com tudo, desde credenciais até detalhes de conta e finanças.
- As duas verticais mais expostas foram serviços financeiros e saúde, com uma média de 16 e 13 scripts de terceiros, e 6 e 5 scripts de terceiros, respectivamente. E em páginas sensíveis, a análise encontrou uma média de 19 roteiros em serviços financeiros e 14 scripts em saúde.
FONTE: HELPNET SECURITY