5 lugares onde hackers estão roubando seus dados em 2019. As violações de dados trazem perdas incalculáveis ​​para as organizações e podem custar seus empregos aos executivos de segurança cibernética.  O site The Hackers News examinou os cinco principais lugares onde os cibercriminosos estão roubando dados corporativos e governamentais em 2019.

1. Armazenamento em nuvem mal configurado


Segundo o Estudo de Segurança em Nuvem Global de 2019 da empresa de segurança cibernética Thales, 48% de todos os dados corporativos estão armazenados na nuvem em comparação com 35% há três anos. Por outro lado, apenas 32% das organizações acreditam que a proteção de dados na nuvem é de sua própria responsabilidade, contando com provedores de nuvem e IaaS para proteger os dados. O mais alarmante é que 51% das organizações não usam criptografia ou tokenização na nuvem.

(ISC)² Cloud Security Report 2019 afirma que 64% dos profissionais de segurança cibernética consideram a perda e o vazamento de dados como o maior risco associado à nuvem. O uso indevido de credenciais de funcionários e controles de acesso inadequados são os principais desafios para 42% dos profissionais de segurança, enquanto 34% lutam com a conformidade na nuvem e 33% mencionam a falta de visibilidade da segurança da infraestrutura como sua preocupação predominante.

Terceiros negligentes e descuidados são, no entanto, provavelmente a armadilha mais perigosa que permanece amplamente subestimada e, portanto, desconsiderada. Em 2019, FacebookDown Jones, Microsoft e Toyota foram impiedosamente estigmatizados pela mídia por perder milhões de registros de clientes devido a vazamentos ou violações de terceiros.

Apesar desses incidentes alarmantes, ainda poucas organizações têm um programa de gerenciamento de riscos de terceiros bem pensado, implementado adequadamente e continuamente aplicado, dependendo principalmente de pessoas que fazem perguntas em papel ignorando verificações práticas e monitoramento contínuo.

2. Dark Web


A Notorious Collection # 1, revelada em 2019 pelo especialista em segurança Troy Hunt, é um conjunto de endereços de email e senhas em texto sem formatação, totalizando 2.692.818.238 linhas. Qualquer pessoa pode comprar anonimamente esses dados para Bitcoins sem deixar rastro. Sendo um dos maiores bancos de dados publicamente conhecidos de credenciais roubadas, é uma mera fatia de dados comprometidos disponíveis para venda no Dark Web. Muitas organizações são invadidas todos os dias sem estar cientes disso devido à complexidade dos ataques ou negligência simples, falta de recursos ou habilidades.

Ataques de reutilização de senha direcionada e spear phishing são simples de iniciar e não exigem explorações caras de 0 dias. Embora triviais à primeira vista, eles podem ser incrivelmente eficientes. A maioria das organizações não possui uma diretiva de senha consistente em seus recursos corporativos, implantando o SSO apenas em sua infraestrutura central.

Os sistemas secundários e auxiliares vivem suas próprias vidas, geralmente com uma política de senhas ruim ou até ausente, mas com acesso a segredos comerciais e propriedade intelectual. Dada a multiplicidade de portais e recursos, os atacantes tentam meticulosamente as credenciais roubadas e, eventualmente, conseguem o que procuram.

É importante ressaltar que esses ataques geralmente são tecnicamente indetectáveis ​​devido ao monitoramento insuficiente ou simplesmente porque não desencadeiam anomalias comuns ao permitir a entrada de usuários. Grupos experientes de hackers farão um perfil cuidadoso de suas vítimas antes do ataque para fazer login na mesma sub-rede .

3. Sites abandonados e desprotegidos


De acordo com uma pesquisa de 2019 realizada por uma empresa de segurança da web ImmuniWeb, 97 dos 100 maiores bancos do mundo têm sites e aplicativos da web vulneráveis. Um amplo espectro de problemas é atribuído ao uso descontrolado de software de código aberto, estruturas desatualizadas e bibliotecas JS, algumas das quais continham vulnerabilidades exploráveis ​​conhecidas publicamente desde 2011.

O mesmo relatório revelou que 25% dos aplicativos de e-banking nem sequer estavam protegidos com um firewall de aplicativo da Web (WAF). Eventualmente, 85% dos aplicativos falharam nos testes de conformidade com GDPR , 49% não passaram no teste do PCI DSS.

Apesar do surgimento do Attack Surface Management(ASM), a maioria das empresas luta de maneira incremental com a crescente complexidade e complexidade flutuante de suas superfícies de ataque externas. Os aplicativos da Web dominam a lista de ativos abandonados ou desconhecidos deixados por desenvolvedores descuidados ou sobrecarregados.

As liberações de demonstração e teste proliferam rapidamente em uma organização, sendo esporadicamente conectadas aos bancos de dados de produção com dados confidenciais. Os próximos lançamentos são lançados rapidamente, enquanto os anteriores permanecem em estado selvagem por meses. As equipes de segurança com falta de pessoal rotineiramente não têm tempo para rastrear aplicativos não autorizados, confiando nas políticas de segurança que metade dos engenheiros de software nunca leu.

Mesmo aplicativos da Web implantados corretamente podem ser uma bomba-relógio se não forem atendidos. Tanto o código-fonte aberto quanto o software proprietário fazem um barulho no Bugtraq com frequência notável, trazendo falhas de segurança novas e predominantemente fáceis de explorar. Com algumas exceções, os fornecedores são lentos para lançar patches de segurança em comparação com a velocidade das campanhas de hackers em massa.

Os CMS mais populares, como WordPress ou Drupal, são comparativamente seguros em suas instalações padrão, mas a infinidade de plugins, temas e extensões de terceiros aniquila sua segurança.

4. Back-end de aplicativos móveis


As empresas modernas agora investem generosamente em segurança de aplicativos móveis, aproveitando os padrões de codificação seguros incorporados nos DevSecOps, nos testes SAST / DAST / IAST e na proteção RASP aprimorada com as soluções de correlação de vulnerabilidades. Infelizmente, a maioria dessas soluções aborda apenas a ponta visível do iceberg, deixando o back-end de aplicativos móveis sem teste e sem proteção.

Embora a maioria das APIs usadas pelo aplicativo móvel envie ou receba dados confidenciais, incluindo informações confidenciais, sua privacidade e segurança são amplamente esquecidas ou despriorizadas, levando a conseqüências imperdoáveis.

Da mesma forma, grandes organizações geralmente esquecem que as versões anteriores de seus aplicativos móveis podem ser facilmente baixadas da Internet e com engenharia reversa. Esses aplicativos herdados são um verdadeiro Klondike para hackers que procuram APIs abandonadas e vulneráveis, geralmente ainda capazes de fornecer acesso às joias da coroa de uma organização de maneira descontrolada.

Eventualmente, uma grande variedade de ataques se torna possível, desde a força bruta primitiva, mas altamente eficiente, até os sofisticados desvios de autenticação e autorização usados ​​para roubo e roubo de dados. Geralmente, os ataques mais perigosos, incluindo injeções de SQL e RCEs, residem no lado de back-end móvel. Por serem desprotegidos mesmo por um WAF, eles são uma fruta baixa para atacantes pragmáticos.

5. Repositórios de Código Público


As práticas ágeis de CI / CD são um ótimo facilitador de negócios; no entanto, se implementados inadequadamente, eles rapidamente se transformam em um desastre. Nesse contexto, os repositórios de códigos públicos geralmente são o elo mais fraco que prejudica os esforços organizacionais de segurança cibernética.

Um exemplo recente vem do gigante bancário Scotiabank, que supostamente armazenava dados altamente confidenciais em repositórios públicos e acessíveis do GitHub, expondo seu código-fonte interno, credenciais de login e chaves de acesso confidenciais.

Os desenvolvedores de software de terceiros exacerbam consideravelmente a situação, na tentativa de fornecer a cotação mais competitiva para clientes inconscientes e um tanto ingênuos. Obviamente, softwares baratos apresentam desvantagens substanciais e a falta de segurança é a principal.

Embora poucas organizações consigam manter o controle sobre a qualidade e a segurança do código do software, realizando uma varredura automatizada e uma revisão manual do código, praticamente nenhuma é capaz de monitorar como o código-fonte está sendo armazenado e protegido enquanto o software está sendo desenvolvido e posteriormente armazenado.

Erros humanos surpreendentemente predominam no espaço. Até organizações exemplares com políticas de segurança maduras e testadas por profissionais escorregam desajeitadamente por causa de fatores humanos. Os prazos difíceis ditados pelas realidades econômicas levam a programadores sobrecarregados e exaustos que inocentemente se esquecem de definir um atributo adequado em um repositório recém-criado, deixando os problemas entrarem.

Fonte: The Hacker News e Minuto da Segurança