Se até o Facebook consegue sofrer vazamentos de dados por causa de falhas no desenvolvimento de aplicativos, o problema é realmente grande. E o pior: na hora de criar softwares, a preocupação com segurança não se mostra tão importante quanto é necessária – muitos desenvolvedores sequer oferecem o serviço ou falam sobre o assunto.
É por isso que, mesmo que já exista há alguns anos, um cargo como o de um security evangelist ainda é muito pouco visto nas empresas. Esse é aquele funcionário que vai se preocupar em difundir técnicas e práticas de segurança para todos os níveis e equipes, o que deve incluir os responsáveis pelos aplicativos. Nota: ao falar em aplicativos, aqui, nos referimos tanto aos programas mobile quanto desktop.
Primeiro, para que não ocorram vazamentos de credenciais (logins e senhas) ou dados de cartões de crédito de clientes e/ou funcionários, é claro. Na era da Lei Geral de Proteção de Dados (LGPD), estar atento para que hackers não invadam seus sistemas ou aplicativos é uma preocupação para que, além de evitar problemas jurídicos, é também sinônimo de respeito e consideração pela criação de laços de confiança.
Mas, além dos possíveis vazamentos, também é necessário ficar atento para que não ocorra um efeito “bola de neve”: quanto mais tarde for feita a proteção dos dados e das linhas de código (que só vão aumentando ao longo do tempo), muito mais caro fica todo o processo – e também maior a dor de cabeça.
O aumento no uso de serviços na nuvem (ou, mais especificamente, cloud computing) é um fato indiscutível. Segundo dados da Statista, desde 2011 a menor taxa de crescimento do mercado de serviços em nuvem foi em 2017, quando a porcentagem aumentou “apenas” 12,4%. Já 2018 foi o ano que experimentou o maior crescimento: o aumento mundial do uso desse tipo de plataformas foi de 25,5%.
Essa é uma migração importante pois muitas empresas deixam de ter um espaço físico que contém apenas os computadores que armazenam todos os dados, por exemplo. Surgem então algumas vantagens quanto à segurança: no uso da intranet (aquela rede das empresas que permite o compartilhamento de arquivos sem acesso a internet) ou dos e-mails internos, muitas pessoas utilizavam (e ainda utilizam) conexões VPN para poder usar os sistemas quando estavam fora do local da empresa. Daí, as brechas podem surgir para que os hackers façam invasões.
Mas o aumento do uso da internet não é um indicativo de que o ambiente é 100% mais seguro: segundo o relatório Data Breach Investigations da Verizon deste ano, os vazamentos de servidores de pagamentos fora da web ainda são a maioria, mas têm diminuído. Enquanto isso, os vazamentos de dados de cartões de servidores do tipo webapp só aumentam (e tendem a ultrapassar os do outro tipo). Por isso, tenha atenção extra onde for colocar seus dados de cartão de crédito!
Em resumo: aplicativos web ou não, mobile ou desktop, é preciso fazer o desenvolvimento que proteja os dados e informações da melhor maneira – e constantes atualizações de segurança sempre!
Existe uma série de passos e procedimentos mais adequados à boa proteção e segurança na hora do desenvolvimento de aplicativos. A principal das práticas é observar o Software Assurance Maturity Model (SAMM) que é feito pela Open Web Application Security Project (OWASP). Ele é um guia (ou, traduzindo, um modelo de maturidade) feito para orientar o desenvolvimento seguro de forma mais eficiente.
A Conviso é uma empresa especialista no trabalho com segurança de aplicativos, e eles possuem serviços para os mais diversos momentos em que é necessário trabalhar na proteção dos dados de softwares. Por isso, confira no blog deles um interessante artigo sobre como fazer a segurança no desenvolvimento de aplicativos, que inclui também uma revisão sobre todo o OWASP SAMM.
O relatório sobre vazamentos da Verizon também mostra que, em 2018, os dois principais tipos de dados vazados (e que também estão sempre juntos, na maioria dos casos) são os de credenciais (logins e senhas) e de informações internas.
Nossas detecções aqui na Axur não dizem o contrário: os principais sites em que mais encontramos vazamentos de dados e informações são repositórios como Pastebin (que é um modo anônimo de compartilhar arquivos de texto) e GitHub (plataforma de hospedagem de códigos-fonte). Além de existirem, é claro, inúmeras comercializações de listas na deep e dark web.
Se você tem interesse em contar com monitoramento auxiliado pelo nosso time (de humanos e robôs), uma boa ideia pode ser utilizar a plataforma Axur One. Também é possível ter alertas constantes de detecções de senhas e bins de cartões de crédito: veja o Hashcast e o Cardcast.