.
Informações pessoais, financeiras e de saúde pertencentes a milhões de pessoas foram roubadas por meio de uma classe específica de vulnerabilidade de site, dizem agências de segurança cibernética nos EUA e na Austrália. Eles estão pedindo aos desenvolvedores que revisem seu código e eliminem esses bugs para sempre.
As falhas são conhecidas como referências diretas de objeto inseguras, ou IDORs. Eles ocorrem essencialmente quando um aplicativo da web ou um back-end de API da web não verifica corretamente se um usuário tem permissão para acessar algumas informações de um banco de dados ou algum outro recurso.
Mais especificamente, os bugs IDOR podem ocorrer quando o acesso é concedido com base na entrada do usuário, em vez de procurar os direitos de acesso dessa pessoa.
Um exemplo seria um site que possui um esquema de URL como…
http://foo.bar/gettransaction?id=12345
…o que mostraria detalhes de uma transação com o número de identificação 12345. Idealmente, o aplicativo da web deveria mostrar apenas as transações pertencentes ao usuário conectado, mas se ele aceitasse cegamente qualquer número de identificação fornecido e exibisse a transação correspondente para quem quer que fosse está logado, isso é um IDOR. Alguém pode apenas experimentar toda a gama de IDs ou alguns selecionados e ver os detalhes da transação de outras pessoas, que presumivelmente conterão informações pessoais e privadas.
Esses IDORs podem, portanto, levar a violações de segurança de dados em larga escala.
CISA, em alerta conjunto com a NSA e o Centro Australiano de Segurança Cibernética, alertou esta semana que os malfeitores estão “frequentemente” explorando esses tipos de brechas “porque são comuns, difíceis de prevenir fora do processo de desenvolvimento e podem ser abusadas em grande escala”.
“Normalmente, essas vulnerabilidades existem porque um identificador de objeto é exposto, transmitido externamente ou facilmente adivinhado, permitindo que qualquer usuário use ou modifique o identificador”, explica a CISA.
Isso pode ter consequências terríveis porque os criminosos podem explorar falhas de IDOR para roubar, modificar ou excluir dados confidenciais, acessar dispositivos sem permissão ou enviar malware para vítimas involuntárias.
Caso em questão: um 2019 Primeira violação de segurança financeira americana em que 800 milhões de arquivos financeiros pessoais, incluindo extratos bancários, números de contas bancárias e documentos de pagamento de hipotecas foram expostos. A CISA disse que uma falha do IDOR permitiu que criminosos roubassem essas informações financeiras.
Mais recentemente, os pesquisadores de segurança da Jumpsec mostraram como uma vulnerabilidade IDOR em Microsoft Teams poderia ser explorado para ignorar os controles de segurança e enviar arquivos – especificamente malware – para qualquer organização que use o aplicativo de bate-papo de Redmond.
E em abril, a CISA alertou que dois bugs IDOR em Dispositivos domésticos inteligentes da Nexx pode permitir que criminosos enviem instruções para o dispositivo doméstico inteligente de uma vítima, por meio da API NEXX, e o hardware fará tudo o que o invasor disser para fazer.
O que fazer
Para ajudar a evitar violações de dados devido a bugs IDOR, as agências sugerem que fornecedores e desenvolvedores de aplicativos da web implementem princípios seguros por design em cada estágio do processo de desenvolvimento de software. As ferramentas automatizadas de análise de código também podem verificar esse tipo de código com erros, para que os pontos fracos possam ser corrigidos antes que o material chegue à produção.
As agências também publicaram uma série de recomendações que fornecedores, designers de aplicativos, desenvolvedores e usuários finais podem seguir para reduzir o risco de falhas de IDOR e proteger melhor os dados confidenciais de criminosos.
É uma longa lista de ações sugeridas e recomendamos a sua leitura na íntegra. Mas, primeiro, este merece uma mensagem: “Configurar aplicativos para negar acesso por padrão e garantir que o aplicativo execute verificações de autenticação e autorização para cada solicitação para modificar dados, excluir dados e acessar dados confidenciais”.
O alerta conjunto também “incentiva fortemente” as organizações de usuários finais a implementar as mitigações sugeridas. Resumindo: para aqueles que usam modelos de software como serviço (SaaS) para aplicativos baseados em nuvem, é recomendável usar a devida diligência e seguir as melhores práticas para gerenciamento de riscos da cadeia de suprimentos.
Enquanto isso, para organizações de usuários finais que implantam software local, infraestrutura como serviço (IaaS) ou modelos de nuvem privada, as agências recomendam revisar as verificações de autenticação e autorização em qualquer aplicativo da Web que permita acesso ou modificação de dados sensíveis.
E, é claro, aplique os patches o mais rápido possível, caso os bugs do IDOR e quaisquer outros furos precisem ser corrigidos.
Além disso, realize exercícios regulares de teste de penetração e verificação de vulnerabilidade para garantir que os aplicativos da Web voltados para a Internet sejam seguros, é o conselho. ®
.
