A recente intenção do Information Commissioner’s Office* do Reino Unido de multar a British Airways, em cerca de 200 milhões de euros, devido ao incidente que ocorreu no ano passado, voltou a colocar a temática da cibersegurança sob as luzes da ribalta.
O website da companhia aérea, ou uma área do mesmo, viu um ficheiro de uma biblioteca de JavaScript ser alterado, de forma a enviar os dados de cartões de crédito dos visitantes para um site controlado pelo atacante**, cujo nome indiciava ser da British Airways, para não levantar suspeitas. No total, cerca de 400 mil cartões de crédito foram comprometidos.
Apesar de se saber o modus operandi deste ataque, ainda não se sabe como é que esse ficheiro de JavaScript foi alterado. Pode ter sido através de uma vulnerabilidade Web, ou por outro motivo, mas, segundo o relatório de 2018 da Verizon***, 20% de todos os ataques que resultaram em dados comprometidos têm origem num ataque a uma aplicação web.
Enquanto profissional de cibersegurança, já há cerca de dez anos, tenho assistido à evolução desta área e posso afirmar que a sua importância e a sensibilidade dos responsáveis e governantes têm vindo a aumentar ao longo deste tempo. No início por questões de compliance, depois pelos impactos na reputação das empresas e marcas, e, agora, por motivos legais e pelas potenciais multas avultadas. Se por um lado, é positivo ver que muitas empresas já evoluíram e que muitas outras estão em processo de o fazer, por outro lado, o número de empresas que aborda a temática da segurança de uma forma leviana é ainda muito expressivo.
Ao longo destes dez anos, com a evolução das metodologias de desenvolvimento de software, também a forma como se fazem os testes de segurança sofreu transformações, nomeadamente na segurança das aplicações. Antes, as aplicações eram bastante monolíticas e só era lançada uma nova versão com muitas alterações uma vez por ano. Nesse tempo, as empresas mais maduras faziam apenas um teste de segurança exaustivo à aplicação antes de a lançar. Atualmente, com as metodologias ágeis, são muitas as empresas que lançam novas versões das suas aplicações semanalmente, ou mesmo diariamente. Assim, os testes de segurança têm de acompanhar essa evolução. Os testes exaustivos anuais deixam de ser suficientes, porque a aplicação tem uma evolução constante e pode ganhar um problema de segurança a qualquer momento.
Já os tipos de vulnerabilidades em aplicações Web não têm sofrido grande alteração. Enquanto alguns tipos de problemas irão sempre existir, tais como os resultantes de problemas de lógica ou de controlo de acessos, outros deveriam ter deixado de existir há muitos anos. Recordo-me que, em 2012 ou 2013, se dizia que as vulnerabilidades do tipo “SQL Injection”, que permitem que um atacante tenha acesso à base de dados da aplicação, iam desaparecer. Isto porque praticamente todas as linguagens de programação conseguiam oferecer aos programadores uma forma de evitar este tipo de vulnerabilidade de forma eficaz. No entanto, hoje, seis ou sete anos depois, esta vulnerabilidade está longe de estar extinta e fico surpreendido com a quantidade de empresas / sites vulneráveis. Não está circunscrita a um tipo de empresa ou geografia, simplesmente ainda existe por todo o lado e este é um exemplo de um tipo de problema de segurança que, quando descoberto e explorado, tem um impacto profundo na empresa afetada, nos seus clientes e que acaba sempre na comunicação social.
O risco é real, o impacto pode ser tão drástico tanto para pessoas como para empresas, que acabam na bancarrota por não conseguirem recuperar do ataque. Cabe a todas as empresas perceberem o risco a que estão sujeitas e atuar em conformidade.
Para os decisores de empresas Portuguesas que pensam que são demasiado pequenos para sofrerem um ataque, gostaria de acrescentar que de acordo com o relatório da Verizon, 43% de todas as empresas que viram dados comprometidos, são pequenas e médias empresas. A questão não é se vai acontecer, mas sim quando.
*) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
**) https://www.theregister.co.uk/2018/09/11/british_airways_website_scripts/
***) Verizon Data Breach Investigation Report de 2018- https://www.verizondigitalmedia.com/blog/2018/11/10-takeaways-from-the-2018-verizon-dbir/