Nos últimos anos houve um “boom” de ataques cibernéticos, principalmente voltados aos e-commerces. Dados pessoais e de cartões de crédito ficaram vulneráveis para hackers, o que pode causar prejuízos sérios não apenas para o consumidor, mas também para o lojista.
Pesquisa encomendada pela Zoho, empresa de tecnologia global, mostra que 48% dos consumidores desistiriam de comprar em uma determinada loja se descobrissem que ela sofreu um ataque cibernético. Portanto, apostar em processos seguros e tecnologias no e-commerce é fundamental para evitar a vulnerabilidade digital.
Aliás, engana-se quem pensa que apenas lojas pequenas sofrem esse tipo de problema. É só lembrar do recente caso com o e-commerce da Renner, que teve seu e-commerce “sequestrado” e passou dias sem poder realizar normalmente suas ações. Meses antes, a JBS passou por uma situação parecida e precisou pagar US$ 11 milhões para recuperar seus sistemas.
Prevenir o problema é sempre melhor do que tentar solucioná-lo depois. Então, conheça agora quais as principais causas dos ataques cibernéticos e como solucioná-las:
Quais as principais causas dos ataques cibernéticos?
Veja como hackers costumam atacar plataformas de e-commerce:
Ambientes desatualizados ou não seguros
A OWASP® Foundation, comunidade que disponibiliza gratuitamente artigos e ferramentas voltadas à segurança de aplicações online, lista periodicamente os tipos de ataques mais conhecidos. Com relação a ambientes desatualizados, os mais conhecidos são, em ordem de frequência:
A7:2017-Cross-Site Scripting XSS — falhas de identificação e atualização
Ocorre quando o site permite que pessoas externas injetem um script, que pode roubar dados dos clientes e praticar fraudes.
Esse tipo de ataque é frequente quando o site:
usa recuperação de cadastro fraca ou ineficaz e processos de recuperação de senha, como “respostas baseadas em conhecimento”, que não podem ser protegidos;
permite ataques automatizados, como o preenchimento de credenciais, em que o invasor tem uma lista de nomes de usuário e senhas válidos;
- usa armazenamento de dados de senhas em texto simples, criptografado ou com hash fraco;
- permite senhas padrão, fracas ou conhecidas, como numerais em ordem (“12345”) ou “senha”;
- reutiliza o identificador de sessão após o login bem-sucedido;
- tem autenticação multifator em falta ou ineficaz;
- não invalida corretamente os IDs de sessão;
- expõe o identificador da sessão na URL.
A01: 2021 – Controle de acesso quebrado
Vulnerabilidades de controle de acesso incluem:
- violar o princípio de privilégio mínimo ou negação por padrão, onde o acesso deve ser concedido apenas para determinados recursos, funções ou usuários, mas está disponível para qualquer pessoa;
- ignorar verificações de controle de acesso modificando a URL (adulteração de parâmetro ou navegação forçada), o estado interno do aplicativo ou a página HTML ou usando uma ferramenta de ataque que modifica as solicitações de API;
- configurar incorretamente o CORS (Cross-origin Resource Sharing), mecanismo para compartilhar recursos entre diferentes origens. Isso permite o acesso à API por fontes não autorizadas ou confiáveis;
- reproduzir ou alterar um token de controle de acesso JSON Web Token (JWT) ou um cookie ou campo oculto manipulado para elevar privilégios ou abusar da invalidação de JWT;
- forçar a navegação para páginas autenticadas acessando como usuário não autenticado, ou para páginas privilegiadas como um usuário padrão;
- permitir que um visitante aja como um usuário sem estar logado ou um usuário aja como administrador;
- permitir a visualização ou edição da conta de outra pessoa, fornecendo seu identificador exclusivo;
acessar a API sem controles de acesso para POST, PUT e DELETE.
Falta de regras inteligentes no bloqueio firewall
O firewall é um bloqueio que sempre está disponível, mas quando ele possui regras simples, não há bloqueio de ataques do tipo DDoS (que bloqueia recursos do sistema).
É um tipo de ataque em que não ocorre vazamento de dados, mas pode causar lentidão ou quedas no site, o que prejudica a performance e experiência, logo, os resultados da plataforma.
Falhas de ambiente da aplicação
É o que ocorre quando o ambiente está rodando com portas (diretórios de acesso a recursos específicos) desnecessariamente abertas, serviços de aplicações desatualizados ou sistemas operacionais inseguros. Para resolver esse problema, são necessários:
- validação frequente das regras de portas para garantir que apenas as portas realmente necessárias estão disponíveis para acesso externo;
- atualizações dos serviços utilizados, como servidores de protocolo HTTP, proxy reverso, proxy de e-mail IMAP/POP3, servidores de aplicação, entre outros;
- evitar sistemas operacionais desatualizados ou sem foco em segurança.
Como os e-commerces podem se proteger?
Veja possibilidades do que fazer para proteger sua loja virtual:
Atualização frequente de pacotes independentes
A falta de atualização de pacotes independentes é o que tem feito grandes e-commerces sofrerem ataques de hackers. Se você tem uma plataforma muito segura, mas não hospedada em um sistema seguro, ela poderá ser vítima de um ataque e ter seus dados bloqueados.
A OWASP® disponibiliza uma lista de ferramentas utilizadas na detecção de vulnerabilidades. Algumas são mais genéricas, outras específicas para determinadas falhas.
O desenvolvedor também pode visitar a National Vulnerability Database periodicamente. Quando é descoberta uma vulnerabilidade em alguma biblioteca, a empresa responsável faz a correção e disponibiliza uma atualização no site.
Testes de penetração recorrentes
O teste de intrusão, penetração ou pentest é uma simulação de um ataque de um malware à plataforma de e-commerce. Ele é essencial para encontrar falhas no desenvolvimento, na infraestrutura interna e externa, nos serviços e até nos aplicativos móveis.
O teste envolve analisar as atividades do sistema buscando alguma vulnerabilidade resultante de má configuração do sistema, falhas em hardwares, softwares desconhecidos ou deficiência no sistema operacional. Tudo o que é analisado é apresentado com uma avaliação do impacto do problema e uma proposta de resolução técnica.
Quem não tem uma equipe preparada para esse tipo de teste deve trabalhar com empresas especializadas em testes de penetração.
Utilização de sistemas auxiliares
Um dos sistemas auxiliares mais conhecidos atualmente é o WAF (web application firewall), que filtra, monitora e bloqueia o tráfego HTTP de/para um serviço da web . Ao inspecionar o tráfego HTTP, ele evita ataques que exploram vulnerabilidades conhecidas de um aplicativo da web, como injeção de SQL, script entre sites (XSS), inclusão de arquivo e configuração inadequada do sistema.