Dicas básicas para a proteção de dados durante o desenvolvimento de softwares6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros
O levantamento foi feito pelos especialistas em segurança da CloudSEK sobre 600 aplicações voltadas a e-mail marketing e outros serviços relacionados. A descoberta foi que metade delas estavam vazando segredos relacionados às APIs de três grandes serviços de disparo de mensagens: Mailgun, SendGrid e, na maior parte dos casos, MailChimp; usuários dos EUA, Reino Unido, Espanha, Rússia e Índia são os mais afetados. Os vazamentos de segredos de API permitem diferentes tipos de exploração contra os usuários. Dos 319 apps vulneráveis, 12 expunham chaves que permitiam a leitura de e-mails enviados e recebidos pelos utilizadores, enquanto 28% tinham elementos que permitiam, por exemplo, a conexão de uma conta de e-mail marketing em outro aplicativo por um terceiro. Isso tudo poderia resultar na obtenção de informações pessoais ou sigilosas de clientes e empresas, levando a novo golpes. As exposições relacionadas aos serviços MailGun e SendGrid também poderiam permitir que os criminosos enviassem mensagens em nome das contas oficiais, enquanto no primeiro caso também era possível obter credenciais e extrair listas de contatos. Novamente, tais explorações abrem as portas para golpes de phishing e roubo de identidade, principalmente quando falamos de comunicações enviadas de forma maliciosa, mas em nome de companhias legítimas. Os ataques também poderiam envolver prejuízos diretos às próprias empresas, uma vez que, em 20% dos casos, um criminoso poderia apagar as chaves relacionadas às APIs, impedindo funcionamento dos apps, enquanto em 13% era possível alterar mecanismos de validação em duas etapas. A CloudSEK não divulgou a lista de aplicativos vulneráveis, mas disse ter informado todos os desenvolvedores sobre os achados da pesquisa. Indo além, a empresa de segurança digital aponta a necessidade de boas práticas de segurança no desenvolvimento de software. Enquanto APIs são parte integrante do processo, os responsáveis não devem incorporar chaves e outros detalhes de uso no código-fonte da versão que é disponibilizada ao público, enquanto gestores devem trabalhar com ferramentas de revisão e monitoramento, além de reciclarem as chaves de tempos em tempos, como forma de evitar vazamentos e manter as aplicações protegidas. Fonte: Infosecurity Magazine