Mostrar barra lateral
Por que você deve se preocupar com vazamento de dados no seu site

Ultimamente tenho prestado muita atenção a assuntos relacionados a proteção de dados, e me questionei como as empresas estão se adaptando as novas diretrizes que a LGPD vem trazendo desde agosto de 2020.

Resolvi então explorar a segurança de um site, com o objetivo de entender o qual difícil seria encontrar uma valha na segurança, e para a minha surpresa, não demorou 5 minutos para ter acesso a uma valha gravíssima.

Neste artigo, irei contar um pouco como encontrei esta falha que poderia levar a um vazamento de dados e até mesmo a penalidade por lei para a empresa. Lembrando que esta exploração teve um objetivo claro e sem más intenções, logo em seguida a empresa foi comunicada para lidarem de forma correta com o erro.

Como encontrei o erro?

Quando falo em exploração, algumas pessoas podem ficar em dúvida sobre o que significa. Basicamente é uma série de ações e analises de código que permite entender arquitetura e também encontrar erros como este de segurança.

Nesta exploração, utilizei um software simples para buscar API’s chamado Insomnia. Nele é possível interagir com APIs, sem técnicas muito avançadas. 

home da insomnia

Com o software instalado em meu computador, iniciei o teste de API’s de um determinado site. Partir pelo princípio de troca de informações, já que é a forma básica de testar a segurança de um site, e onde há maior volume de troca normalmente é através da newsletter, por isso fiz o meu cadastro no site.

Logo quando finalizei o meu cadastro, recebi o primeiro gatilho de validação de email, através de uma API exposta. 

Acessei a documentação da plataforma a qual o site é hospedado e entendi como essa API funciona em um site. Com isso, descobri que a busca por email estava aberta dentro do código, me dando acesso a seguinte api:

/api/dataentities/NS/search?_where=email is not null&_fields=email

Com esta simples informação consegui ter acesso aos dados de todas as pessoas que se cadastraram na newsletter da marca. Fiquei surpreso, pois imaginei que seria mais difícil e elaborado encontrar um erro grave como este.

Assim como foi fácil encontrar este erro, a correção também é rápida através do bloquei desta API.

Como evitar vazamento de dados em seu site?

Considerando a LGPD, no caso da empresa ser vítima de um vazamento de dados, a responsabilidade será inteiramente da empresa. Nestes casos, pode ser tratado com uma advertência ou multa de 2% sobre o faturamento, dependendo do caso, a atividade pode ser suspensa pela Justiça.

Para evitar falhas na segurança e o vazamento de dados, é preciso ter um time técnico que faça testes de segurança periodicamente para encontrar falhas e corrigir erros. Tenha em mente que quanto mais sistemas envolvidos, maior será a comunicação entre eles aumentando as chances de existir alguma brecha de segurança. Cabe ao seu arquiteto de segurança, entender bem como seu site está funcionando, para não correr riscos de comprometer seus clientes e sua marca.

Se você quer aprofundar mais sobre o assunto e entender como a LGPD impactar o seu negócio, acesse nosso e-book "Um guia sobre a LGPD".

ebook: Um guia sobre a LGPD

Fique atendo a segurança do seu site! Fale com um dos nossos consultores sobre os projetos que realizamos para auxiliar o cliente sobre vazamento de dados.

Vale a leitura

Saiba a importância de auditar o seu site de acordo com a nova lei de proteção de dados
Saiba a importância de auditar o seu site de acordo com a nova lei de proteção de dados
Saiba a importância de auditar o seu site de acordo com a nova lei de proteção de dados Intimamente ligada à experiê...
Saiba mais
Saiba como fazer o tratamento de dados através dos princípios da LGPD
Saiba como fazer o tratamento de dados através dos princípios da LGPD
A LGPD já é uma realidade na internet brasileira, a lei entrou em vigor em Agosto de 2020 e muitas empresas já começa...
Saiba mais
LGPD: Conheça a ferramenta que irá ajudar na conformidade com a lei geral de proteção de dados
LGPD: Conheça a ferramenta que irá ajudar na conformidade com a lei geral de proteção de dados
As políticas de cookies de todos os sites terão que se adequar as novas práticas que a LGPD propõe. Conheça a ferrame...
Saiba mais

Dejar un comentario

Por favor tenga en cuenta que los comentarios deben ser aprobados antes de ser publicados