Por que você deve se preocupar com vazamento de dados no seu site

Por que você deve se preocupar com vazamento de dados no seu site

Ultimamente tenho prestado muita atenção a assuntos relacionados a proteção de dados, e me questionei como as empresas estão se adaptando as novas diretrizes que a LGPD vem trazendo desde agosto de 2020.

Resolvi então explorar a segurança de um site, com o objetivo de entender o qual difícil seria encontrar uma valha na segurança, e para a minha surpresa, não demorou 5 minutos para ter acesso a uma valha gravíssima.

Neste artigo, irei contar um pouco como encontrei esta falha que poderia levar a um vazamento de dados e até mesmo a penalidade por lei para a empresa. Lembrando que esta exploração teve um objetivo claro e sem más intenções, logo em seguida a empresa foi comunicada para lidarem de forma correta com o erro.

Como encontrei o erro?

Quando falo em exploração, algumas pessoas podem ficar em dúvida sobre o que significa. Basicamente é uma série de ações e analises de código que permite entender arquitetura e também encontrar erros como este de segurança.

Nesta exploração, utilizei um software simples para buscar API’s chamado Insomnia. Nele é possível interagir com APIs, sem técnicas muito avançadas. 

home da insomnia

Com o software instalado em meu computador, iniciei o teste de API’s de um determinado site. Partir pelo princípio de troca de informações, já que é a forma básica de testar a segurança de um site, e onde há maior volume de troca normalmente é através da newsletter, por isso fiz o meu cadastro no site.

Logo quando finalizei o meu cadastro, recebi o primeiro gatilho de validação de email, através de uma API exposta. 

Acessei a documentação da plataforma a qual o site é hospedado e entendi como essa API funciona em um site. Com isso, descobri que a busca por email estava aberta dentro do código, me dando acesso a seguinte api:

/api/dataentities/NS/search?_where=email is not null&_fields=email

Com esta simples informação consegui ter acesso aos dados de todas as pessoas que se cadastraram na newsletter da marca. Fiquei surpreso, pois imaginei que seria mais difícil e elaborado encontrar um erro grave como este.

Assim como foi fácil encontrar este erro, a correção também é rápida através do bloquei desta API.

Como evitar vazamento de dados em seu site?

Considerando a LGPD, no caso da empresa ser vítima de um vazamento de dados, a responsabilidade será inteiramente da empresa. Nestes casos, pode ser tratado com uma advertência ou multa de 2% sobre o faturamento, dependendo do caso, a atividade pode ser suspensa pela Justiça.

Para evitar falhas na segurança e o vazamento de dados, é preciso ter um time técnico que faça testes de segurança periodicamente para encontrar falhas e corrigir erros. Tenha em mente que quanto mais sistemas envolvidos, maior será a comunicação entre eles aumentando as chances de existir alguma brecha de segurança. Cabe ao seu arquiteto de segurança, entender bem como seu site está funcionando, para não correr riscos de comprometer seus clientes e sua marca.

Se você quer aprofundar mais sobre o assunto e entender como a LGPD impactar o seu negócio, acesse nosso e-book "Um guia sobre a LGPD".

ebook: Um guia sobre a LGPD

Fique atendo a segurança do seu site! Fale com um dos nossos consultores sobre os projetos que realizamos para auxiliar o cliente sobre vazamento de dados.

Torna al blog

Lascia un commento

Si prega di notare che, prima di essere pubblicati, i commenti devono essere approvati.

Qual o próximo passo? Vamos evoluir o seu e-commerce hoje.

Trasforma l'esperienza di acquisto dei canali digitali!
Il nostro team di esperti attende il tuo contatto per capire come possiamo far evolvere oggi il tuo business con le migliori strategie e tecnologie sul mercato.

Parla con un esperto

A Codeby precisa das informações de contato que você nos fornece para contatá-lo sobre nossos produtos e serviços. Você pode cancelar a assinatura dessas comunicações a qualquer momento. Para obter informações sobre como cancelar a inscrição, bem como nossas práticas de privacidade e compromisso de proteger sua privacidade, consulte nossa Política de Privacidade.

Solutions

  • Vtex Solutions
  • Commercio digitale
  • Marketing digitale
  • Trasformazione digitale
  • Trasformazione dei dati

Chi Siamo

  • Siamo Technologia
  • Siamo un team
  • We are a Keyrus Company
  • Carreira
  • Parceiros

Cases

  • Nossos Cases

Prospettive

  • Blog
  • Ebooks

Contattaci

  • Parla con un esperto

Rua Bandeira Paulista, 275 - 1º Andar | ECOMFY TECNOLOGIA E DESENVOLVIMENTO LTDA | CNPJ 30.084.751/0001-02
© 2023, Codeby | Technology for Business Powered by Shopify

Politica sulla riservatezza