80% dos sites possuem pelo menos uma falha de segurança, afirma estudo

Por Ramon de Souza | 09 de Setembro de 2020 às 23h40
Arian Darvishi

Hoje em dia, um site qualquer pode ter dezenas ou até mesmo centenas de integrações com sistemas desenvolvidos por terceiros. Estamos falando de um campo de comentários fornecido por uma rede social, um bot de autoatendimento criado por uma agência de inteligência artificial, script de analytics que rastreia quanto tempo você permanece naquela visita, um gateway de pagamentos para processar sua compra online e assim por diante.

Trata-se de algo normal — a web evoluiu para esse formato em que diferentes APIs se integram e se comunicam entre si para prover uma experiência mais agradável ao usuário. Porém, tal prática também esconde perigos, visto que um desses vários códigos pode ter uma brecha capaz de comprometer a segurança de todo o projeto. E, segundo a Akamai, é exatamente isso o que acontece com 80% dos sites existentes na web.

A companhia — que é responsável por cerca de 30% do tráfego da web — ressalta que vulnerabilidades via integração de scripts de terceiros podem ter resultados desastrosos. Um bom exemplo disso é o Magecart, um “sindicato” do crime cibernético especializado em injetar códigos maliciosos em lojas virtuais desenvolvidas através da plataforma Magento. Com isso, eles conseguem extrair dados de cartões de crédito dos clientes.

Imagem: Reprodução/Emile Perron

Embora muitos scripts de terceiros sejam relativamente confiáveis, vários outros podem ser facilmente falsificados. Os próprios adeptos do Magecart têm o costume de sequestrar contas responsáveis por APIs abertas hospedadas na plataforma Github, modificá-los com trechos maliciosos e esperar até que os criadores de sites utilizem essa versão fraudulenta. Para perceber o truque, seria necessário analisar o código na íntegra manualmente.

Em prol da privacidade

Um exemplo de empresa que está eliminando scripts de terceiros em todos os seus produtos é a Zoho, especializada em prover soluções de software-como-serviço (software-as-a-service ou SaaS). Segundo a marca, o objetivo é dar mais transparência e privacidade aos usuários, especialmente em uma época em que a internet está engajada em discussões públicas sobre tal assunto.

“A Zoho sempre priorizou a privacidade do usuário e não tem um modelo de receita de anúncios em nenhuma parte de seus negócios, incluindo seus produtos gratuitos. Ao escolher o Zoho, as empresas herdarão as práticas de privacidade e segurança de alto nível da empresa em todos os produtos e seus dados serão armazenados com segurança nos data centers da Zoho”, explica Rodrigo Vaca, gerente geral da Zoho no Brasil.

Imagem: Reprodução/Blake Connally

A companhia já se livrou de rastreadores publicitários e ferramentas de analytics, ressaltando que, muitas vezes, a cadeia de comunicação de scripts é tão longa que uma brecha pode levar a um efeito dominó, com vazamentos de dados em segundo e até terceiro nível.

“Estamos percebendo uma tendência hoje em que as empresas não pensam muito antes de incorporar serviços que são essencialmente cavalos de tróia mascarados como serviços gratuitos que espionam os usuários. Chamamos isso de 'vigilância adjunta'. Condenamos veementemente essa prática e tomamos uma postura de bloquear totalmente empresas terceirizadas em todas as nossas propriedades”, complementa Raju Vegesna, principal evangelista da Zoho.

Fonte: Akamai

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.