Você está visualizando atualmente Novo Estudo de Caso: O Comentário Malicioso

Novo Estudo de Caso: O Comentário Malicioso

Quão seguro é a seção de comentários do seu site? Descubra como um comentário aparentemente inofensivo de ‘obrigado’ em uma página de produto escondeu uma vulnerabilidade maliciosa, destacando a necessidade de medidas de segurança robustas. Leia o estudo de caso completo da vida real aqui.

Quando um ‘Obrigado’ não é um ‘Obrigado’? Quando é um pedaço sorrateiro de código que foi escondido dentro de uma imagem de ‘Obrigado’ que alguém postou na seção de comentários de uma página de produto! O segredo culpado escondido dentro deste pedaço de código em particular foi projetado para permitir que hackers driblassem os controles de segurança e roubassem as informações de identificação pessoal dos compradores online, o que poderia ter significado grandes problemas para eles e para a empresa.

A página em questão pertence a um varejista global. As comunidades de usuários muitas vezes são uma ótima fonte de conselhos imparciais de entusiastas, motivo pelo qual um proprietário de uma câmera Nikon estava postando lá. Eles estavam em busca da lente ideal de 50mm e pediram uma recomendação. Eles agradeceram antecipadamente a quem se dispusesse a responder e até deixaram uma pequena imagem que dizia “Obrigado” também, e aos olhos nus parecia tudo bem.

O comentário e a imagem permaneceram no site por três anos(!), mas quando a empresa começou a usar a solução de gerenciamento contínuo de ameaças da web da Reflectiz, uma empresa líder em segurança na web, ela detectou algo preocupante dentro deste gráfico aparentemente inofensivo durante uma verificação de rotina. Neste artigo, oferecemos uma visão geral do que aconteceu, mas se você preferir uma explicação mais aprofundada, juntamente com mais detalhes sobre como proteger as suas próprias páginas de comentários, você pode baixar o estudo de caso completo e detalhado aqui.

Imagens Alteradas

Uma das melhores coisas sobre a web é o fato de que você pode facilmente compartilhar imagens, mas como humano que olha centenas delas todos os dias, é fácil esquecer que cada uma é composta por código, assim como qualquer outro ativo digital em uma página da web. Nesse caso, os atores maliciosos frequentemente tentam esconder seu próprio código dentro delas, o que nos leva à prática da esteganografia. Este é o termo para esconder uma informação dentro de outra. Não é o mesmo que criptografia, que transforma mensagens em algo incompreensível. Em vez disso, a esteganografia esconde dados à vista de todos, neste caso, dentro de uma imagem.

Anatomia de um Pixel

Você pode estar ciente de que os monitores de computador exibem imagens usando um mosaico de pontos chamados pixels e que cada pixel pode emitir uma mistura de luz vermelha, verde e azul. A intensidade de cada cor em um desses pixels RGB é determinada por um valor entre 0 e 255, então 255,0,0 nos dá vermelho, 0,255,0 nos dá verde, e assim por diante.

255,0,0 é o vermelho mais forte que a tela pode exibir e enquanto 254,0,0 é ligeiramente menos forte, pareceria exatamente o mesmo para o olho humano. Ao fazer muitas dessas pequenas alterações nos valores de pixels selecionados, os atores maliciosos podem esconder código à vista de todos. Ao alterar o suficiente deles, eles podem criar uma sequência de valores que um computador pode ler como código, e no caso do postado na seção de comentários da loja de fotografia, a imagem alterada continha instruções ocultas e o endereço de um domínio comprometido. Foi uma surpresa descobrir que o JavaScript na página estava usando as informações ocultas para se comunicar com ele.

Consequências

O grande problema para qualquer pessoa que opera um site de comércio eletrônico é que os atores maliciosos estão sempre procurando oportunidades para roubar informações de identificação pessoal do cliente e detalhes do cartão de pagamento, e alterar arquivos de imagem é apenas um dos muitos métodos possíveis que eles usam. Legisladores em um número crescente de territórios, bem como os formuladores de regras em áreas como a indústria de cartões de pagamento, responderam implementando estruturas regulatórias detalhadas que impõem requisitos rigorosos de segurança aos provedores, juntamente com multas altas se falharem.

A GDPR exige que qualquer pessoa que venda para clientes da União Europeia siga seu grande e detalhado framework. Sempre que um varejista de comércio eletrônico sucumbe à esteganografia ou qualquer outro tipo de ataque que comprometa as informações dos clientes, ele pode atrair multas de milhões de dólares, desencadear ações coletivas e criar publicidade negativa que leva a danos à reputação. Por isso, é tão crucial entender como defender o seu site de tais ataques, como o estudo de caso completo explica.

Proteção Contínua

O estudo de caso explora em profundidade como essa ameaça foi descoberta e controlada, mas a explicação resumida é que a tecnologia de monitoramento da plataforma detectou atividade suspeita em um componente da web, então cruzou certos detalhes com seu extenso banco de dados de ameaças.

O sistema rotineiramente identifica e bloqueia quaisquer componentes da web de terceiros que rastreiam a atividade do usuário sem permissão. Detecta quais componentes de terceiros obtêm permissões de geolocalização, câmera e microfone dos usuários sem seu consentimento e mapeia todos os componentes da web que podem acessar informações sensíveis.

Neste caso, os especialistas em segurança humana da Reflectiz alertaram a empresa sobre a vulnerabilidade, deram à equipe de segurança medidas claras de mitigação e investigaram o código suspeito para entender como os atacantes conseguiram colocá-lo lá. Você pode ler sobre suas descobertas aqui, no estudo de caso completo, e aprender quais medidas de segurança priorizar para evitar que o mesmo aconteça nas suas próprias páginas de comentários.