98% dos sites corporativos possuem vulnerabilidades, aponta levantamento da PSafe

Estudo feito entre março e setembro de 2021, pelo dfndr enterprise, analisou mais de 2.400 sites empresariais e identificou que quase a totalidade apresenta algum risco

A PSafe, empresa líder em segurança digital na América Latina, analisou uma amostragem de mais de 2.400 sites corporativos em busca de vulnerabilidades que poderiam ser exploradas por cibercriminosos. A avaliação foi feita através do dfndr enterprise, solução de cibersegurança que utiliza Inteligência Artificial para detectar ameaças e brechas de seguranças que possam causar vazamentos de dados empresariais. O estudo identificou que 98% dos sites analisados possuem algum nível de risco que poderia ser explorado por pessoas mal-intencionadas.

Dentre os sites avaliados, 98% apresentaram risco médio, 90% leve, 25% alto e 2% crítico de sofrer um ciberataque. “Embora a maioria dos sites analisados esteja na categoria de médio risco, é sempre importante salientar que os cibercriminosos estão em uma busca constante por vulnerabilidades, de qualquer nível, que possa abrir uma brecha de segurança explorável. Basta um único dispositivo comprometido e que tenha acesso a informações sigilosas, para que todos os dados corporativos sejam comprometidos”, ressalta o executivo-chefe de segurança da PSafe, Emilio Simoni.

Imagem simulando resultado do teste (Reprodução/ PSafe)

Como funciona o teste?

Comparável a um Pentest, o “Teste de Invasão” do dfndr enterprise realiza as mesmas verificações que o teste convencional, mas em nuvem, e de forma gratuita. O diferencial entre as análises está na forma com que são realizadas: “um Pentest normal é feito de forma manual, muito pouco escalável, enquanto o nosso teste é feito de forma totalmente automatizada, podendo ser escalado para todos os subdomínios da empresa e tendo um tempo de realização e acurácia muito melhores”, explica Simoni.

O Teste de Invasão mapeia todos os serviços ativos e acessíveis via Internet, analisando vulnerabilidades e autenticações consideradas fracas em cada um. Entre os critérios avaliados nas verificações estão: uso de componentes desatualizados, arquivos abertos (que permitem acessos que não estejam autorizados), senhas consideradas fracas, plugins mal configurados em CMS, entre outros.

Como resultado, o teste atua para alertar e, assim, prevenir ataques a um site ou sistema corporativo, que poderiam ocorrer através de diversas vulnerabilidades, como erros do sistema, falhas de configurações em servidores e ataques feitos por “insider” (colaborador ou alguém com acesso privilegiado). “Essas ações de exploração de vulnerabilidades podem ocasionar diversos riscos para as empresas, indo desde coleta de informações confidenciais para exposição ou venda destes dados em fóruns da Deep Web, invasão a contas para transações financeiras não autorizadas, e até mesmo provocar uma mancha irreparável na reputação de uma marca”, pontua o executivo-chefe.

Ao acessar os sistemas e servidores corporativos, o cibercriminoso pode acessar uma gama de arquivos e documentos com informações confidenciais, tais como cadastro dos colaboradores, contratos, dados de clientes, projetos que nunca saíram do papel e até mensagens privadas. Emilio destaca que o teste também ajuda as empresas a se adequarem às regras da Lei Geral de Proteção de Dados (LGPD): “Como atua preventivamente, o teste ajuda a evitar as penalidades da LGPD, como paralisação parcial ou total de atividades relacionadas ao tratamento de dados, sanções administrativas e multa, que pode chegar a R$50 milhões”.

Quanto custa para se proteger?

Diferentemente de um Pentest, que pode ultrapassar o valor de R$ 20 mil por domínio analisado, o Teste de Invasão do dfndr enterprise tem uma versão gratuita, disponível para a primeira checagem. Nesta versão, a ferramenta disponibiliza um relatório informando à empresa sobre as áreas sensíveis do site, que poderiam acarretar em sérios problemas de cibersegurança, como o vazamento de dados, acompanhado por sugestões de ações corretivas e preventivas.

Já a versão completa do teste, disponível para clientes do dfndr enterprise, traz um detalhamento dos sistemas e oferece um monitoramento semanal das infraestruturas. Desenvolvido para qualquer tipo de empresa, inclusive aquelas que não possuem equipe dedicada de tecnologia da informação, também tem como diferencial o valor acessível do dfndr enterprise, a partir de R$ 15,99/ ao mês, por dispositivo, podendo oferecer proteção para empresas de qualquer tamanho.

Itens avaliados no teste

Para classificar os testes e os resultados, é utilizado o repositório Commom Vulnerabilities and Exposures (CVE), mundialmente conhecido, que é uma espécie de dicionário sobre as vulnerabilidades encontradas no mundo virtual.

Versão gratuita: 

  • Cross Site Scripting (XSS): inserção de código por meio de parâmetros expostos e vulneráveis na página;
  • Código malicioso e backdoor: quando um código malicioso é encontrado em uma página da aplicação ou algum backdoor é identificado no servidor;
  • Uso de componentes desatualizados: ocorre quando componentes como bibliotecas, frameworks, serviços e/ou outros módulos de software utilizados estão desatualizados ou a versão possui alguma vulnerabilidade conhecida;
  • Exposição de dados sensíveis: acontece quando não há a devida proteção de informações sensíveis ou existe a exposição de dados informativos.

Versão premium:

  • Injeção SQL: acontece quando é possível manipular uma consulta a bancos de dados, ou seja, quando um atacante consegue alterar e inserir indevidamente instruções dentro de uma consulta a banco de dados;
  • Proteção/detecção insuficiente contra ataques: ocorre quando aplicativos e APIs não são capazes de detectar, prevenir e responder a ataques manuais e automatizados;
  • Autenticação fraca, Quebra de Autenticação e Gerenciamento de Sessão: é quando dados vazados podem ser utilizados para autenticação ou quando as funções da aplicação relacionadas à autenticação e gerenciamento de sessão estão implementadas de forma incorreta;
  • E mais: Quebra de controle de acesso, APIs sub protegidas, Redirecionamento abertos, Acesso a diretórios não autorizados, Inclusão de arquivo arbitrário e Referência a empresa encontrada em outras plataformas.

Vale lembrar que, também através do dfndr enterprise, a PSafe descobriu um dos maiores incidentes de segurança da história do país, que resultou na exposição de mais de 400 milhões de dados em site público. Dados pessoais, CNPJs e informações sobre veículos foram expostos, em um site da Internet aberta, estando acessível para qualquer pessoa. Especialistas da empresa acreditam se tratar de um compilado feito a partir de uma série de outros vazamentos. “Este é um exemplo claro de como as vulnerabilidades são extremamente perigosas e precisam ser solucionadas com urgência, para que empresas não fiquem nas mãos dos cibercriminosos e a população não continue pagando caro por isso, uma vez que, de posse de tantos dados, se tornam vítimas fáceis para essas quadrilhas”, conclui o executivo-chefe.