40% dos dados de empresas de software como serviço (SaaS) estão desprotegidos
Por Felipe Demartini | Editado por Claudio Yuge | 27 de Agosto de 2021 às 23h40
As notícias de servidores desprotegidos que expõem dados de usuários e corporações são constantes no noticiário e, de acordo com um novo levantamento, segue como uma ameaça constante. De acordo com dados da DoControl, 40% dos dados de empresas do setor SaaS (software como serviço, na sigla em inglês) estão vulneráveis e podem ser acessados publicamente.
- Google e Microsoft prometem US$ 30 bilhões para ajudar EUA contra o cibercrime
- Caso Renner: como atua uma sala de guerra nas empresas vítimas de um ransomware?
- Falha em software da Realtek compromete dispositivos de dezenas de fabricantes
A pesquisa da empresa especializada em segurança apontou que o risco está não apenas no acesso externo, por agentes maliciosos ou não, aos volumes, mas também às políticas internas insuficientes. Mais do que apenas ter as informações disponíveis, muitas companhias do ramo não investem em políticas de segurança e acesso, permitindo que funcionários visualizem e compartilhem os dados, muitas vezes, sem a devida autorização e proteção.
De acordo com o levantamento da DoControl, 20% dos volumes são compartilhados internamente com um link simples, que se passado a terceiros, também pode dar acesso a servidores. Enquanto isso, 8% dos funcionários trabalham misturando perfis pessoais com profissionais, aumentando a possibilidade de vazamento e comprometimento dos dados internos, uma vez que até mesmo chaves criptográficas podem ser encontradas em tais infraestruturas vulneráveis.
Os problemas de políticas também aparecem no gerenciamento das informações, com alguns dos casos citados no relatório apontando volumes cujo acesso era compartilhado por até 15 mil pessoas, incluindo milhares de parceiros externos, fornecedores e até mesmo clientes em potencial que não necessariamente deveriam visualizar as informações. Em 18% dos casos, essa visualização ainda era permitida mesmo depois de contas de usuário serem deletadas, representando um perigo, também, após demissões ou cortes de funcionários.
De acordo com o diretor de segurança da informação da JupiterOne, Sounil Yu, a visibilidade é o melhor caminho para ampliar a segurança em companhias de SaaS. Gerenciar os dados e também os acessos dos usuários, bem como impedir uma possível proliferação de informações corporativas, ajudam a impedir vazamentos e comprometimentos de infraestruturas. Mecânicas de autenticação e monitoramento estão entre as principais medidas.
Fonte: DoControl, Security Magazine