Últimamente he prestado mucha atención a los temas relacionados con la protección de datos, y me he preguntado cómo se están adaptando las empresas a la nuevas directrices que la LGPD ha estado trayendo desde agosto de 2020.
Entonces decidí explorar la seguridad de un sitio web, con el objetivo de entender lo difícil que sería encontrar un fallo de seguridad, y para mi sorpresa, no tardé ni 5 minutos en tener acceso a un fallo muy grave.
En este artículo, voy a contar un poco cómo encontré este fallo que podría llevar a una fuga de datos e incluso a la sanción por ley para la empresa. Recordando que esta explotación tenía un objetivo claro y ninguna mala intención, poco después se comunicó a la empresa para que tratara correctamente el error.
¿Cómo he encontrado el error?
Cuando hablo de explotación, algunas personas pueden tener dudas sobre lo que significa. Básicamente se trata de una serie de acciones y análisis de código que nos permite entender la arquitectura y también encontrar errores como este de seguridad.
En esta exploración, utilicé un sencillo software para buscar APIs llamado Insomnia. En ella es posible interactuar con las APIs, sin necesidad de técnicas muy avanzadas.
Con el software instalado en mi ordenador, empecé a probar las API de un sitio concreto. Partiendo del principio del intercambio de información, ya que es la forma básica de probar la seguridad de un sitio, y donde hay un mayor volumen de intercambio suele ser a través del boletín de noticias, así que me registré en el sitio.
Justo cuando terminé mi registro, recibí el primer disparador de validación de correo electrónico, a través de una API expuesta.
Accedí a la documentación de la plataforma en la que está alojado el sitio y entendí cómo funciona esta API en un sitio. Con eso, encontré que la búsqueda de correo electrónico estaba abierta dentro del código, dándome acceso a la siguiente api:
/api/dataentities/NS/search?_where=email is not null&_fields=email
Con esta sencilla información pude acceder a los datos de todas las personas que se inscribieron en el boletín de la marca. Me sorprendió, porque imaginaba que sería más difícil y elaborado encontrar un error grave como éste.
Al igual que fue fácil encontrar este error, la corrección también es rápida al bloquear esta API.
¿Cómo evitar la fuga de datos en su sitio web?
Teniendo en cuenta la LGPDEn caso de que una empresa sea víctima de una filtración de datos, la responsabilidad recaerá por completo en ella. En estos casos, se puede tratar con una advertencia o una multa del 2% sobre el volumen de negocios, dependiendo del caso, la actividad puede ser suspendida por la Justicia.
A evitar violaciones de la seguridad y fugas de datosEn este sentido, es necesario contar con un equipo técnico que realice pruebas de seguridad periódicamente para encontrar fallos y corregir errores. Hay que tener en cuenta que cuantos más sistemas intervengan, mayor será la comunicación entre ellos, lo que aumentará las posibilidades de que se produzca un fallo de seguridad. El arquitecto de seguridad debe entender cómo funciona su sitio, para no correr el riesgo de comprometer a sus clientes y a su marca.
Si quiere profundizar en el tema y entender cómo afecta la LGPD a su negocio, acceda a nuestro libro electrónico "Guía sobre la LGPD".
Vigile la seguridad de su sitio web. Hable con uno de nuestros asesores sobre los proyectos que realizamos para ayudar al cliente sobre la fuga de datos.
