No mundo de hoje, é quase impossível imaginar uma empresa sem algum tipo de conexão com a Internet - um site, email, treinamento de funcionários, CRM (gerenciamento de relacionamento com cliente), CMS (sistema de gerenciamento de conteúdo) etc. Ele simplifica e acelera o processo de pedidos, procura de novos clientes, pesquisa e manutenção de registros e assim por diante.
Algumas empresas usam soluções prontas, outras contratam profissionais para criar ferramentas específicas da empresa e outras optam por desenvolver o software necessário para resolver suas tarefas diárias por conta própria. Com o tempo, todos têm seu próprio site, e-mail, seus primeiros clientes são inseridos em um banco de dados e os gerentes podem acompanhar as atividades diárias da empresa. Infelizmente, a esmagadora maioria das empresas ignora completamente o fato de que todo servidor, site, endereço de e-mail é um alvo em potencial para hackers. A desculpa mais frequente usada é: nossa empresa é muito pequena, quem poderia estar interessado em nossos dados? É mesmo assim?
Não. Esse tipo de pensamento é um dos muitos erros que tornam a Internet moderna cada vez mais vulnerável. Os criminosos "digitais" modernos não pensam muito em quem atacam. Eles não se importam se você tem sua própria loja online, blog de vídeo sobre gatinhos ou fórum de fãs de hóquei nos subúrbios do sul da Flórida.
A segunda desculpa popular que muitas empresas usam para ignorar sua vulnerabilidade na web é: a segurança na web é muito cara! Também uma declaração incorreta. O custo do pentesting começa em US $ 99 em nossa empresa.
Para mostrar o quão vulnerável é a presença na Internet, instalamos um “honeypot” (um rastreador que analisa e rastreia atividades de hackers) em nosso servidor em um subdomínio recém-criado. Em cinco dias, registramos mais de 40 mil digitalizações de mais de 30 países. Aproximadamente um terço de todas as varreduras estavam tentando se infiltrar. Deixe-me lembrá-lo de que o endereço que usamos foi criado recentemente e nunca foi publicado!
Vamos dar uma olhada em exemplos de como o ataque de hackers pode acontecer e qual o impacto que isso pode ter nos seus negócios. Também abordaremos quais ações você deve tomar para impedir o ataque ou pelo menos minimizar sua exposição, incluindo consequências legais (sim, o ataque de hackers pode levar a problemas legais para você e sua empresa).
Exemplo 1
A empresa A criou um site de "cartão de visita" contendo informações sobre a empresa e um formulário de feedback. Eles desenvolveram este site por conta própria, sem o envolvimento de web designers. Como resultado, ocorreu um erro de validação de dados: o site enviou uma confirmação para o endereço de e-mail inserido com a seguinte mensagem “Sr. / Sra. X, obrigado por sua mensagem 'aqui estava o texto citado' ”. Os hackers usavam a mesma forma de mensagens para enviar links para sites com conteúdo malicioso, utilizando endereços da lista de spam como remetentes. O domínio foi bloqueado como remetente de spam e levou vários dias para desbloquear e excluir o domínio das listas de spam de grandes servidores de email.
O problema foi identificado por nossos especialistas, usando testes automatizados por US $ 99, que incluíam solução de problemas detalhada.
Exemplo 2
A empresa B encomendou um site de uma equipe profissional de web designers, alugou um servidor de um ISP e o instalou. Um software licenciado foi instalado para transferir os dados. Posteriormente, foi feita uma denúncia sobre uma verificação inconsistente que estava sendo realizada a partir do endereço IP deste servidor da empresa. O site da empresa B foi imediatamente bloqueado. Após o teste, foi descoberto que o ISP falhou ao alterar o nome de usuário e a senha padrão (admin / admin). Os invasores conseguiram se infiltrar facilmente no servidor e usar o software da Empresa B para atividades ilegais.
Depois que o servidor foi retirado e redefinido, o provedor permitiu o uso adicional do site. O custo foi de US $ 349.
Exemplo 3
A empresa C desenvolveu um sistema de pedidos para os clientes enviarem dados. Ao criar um ponto de acesso, foi cometido um erro técnico que permitia que os hackers roubassem todos os dados de todos os seus clientes usando uma injeção de SQL. Como resultado, a empresa C ficou fora do mercado por uma semana, com perdas financeiras indenizadas em dezenas de milhares de dólares. O erro técnico acima mencionado foi descoberto por nossa empresa. O custo para o pagamento foi de US $ 2.500.
Estes são apenas alguns exemplos. Existem dezenas, senão centenas, de opções de ataque. Como você pode ver nesses exemplos, teria custado muito menos a essas empresas impedir um ataque de hackers do que lidar com as consequências de serem invadidos.
Pergunte aos especialistas o que fazer para evitar situações desagradáveis. E lembre-se de que, infelizmente, sistemas invulneráveis não existem.