Ataques às aplicações cresceram em organizações com alto faturamento, mas empresas menores entraram no radar dos criminosos
Nome completo, CPF, data de nascimento, endereço, saldo devedor e valor da fatura. Essas foram algumas informações comprometidas após o vazamento de dados de clientes do Banco PAN, entre março e abril de 2022. Embora a instituição financeira não dê detalhes sobre a invasão ao seu sistema, tampouco revele o número de clientes afetados, o próprio responsável pelo ataque se manifestou. O invasor alegou ter usado a técnica de password spraying – ou seja, com tentativas de acesso a um grande número de contas valendo-se de senhas comuns usadas pelos responsáveis por processar as informações dos clientes. Depois, iniciou um processo de identificação da API responsável pelo banco de dados.
API é a sigla para application programming interface, do inglês. Trata-se do conjunto de protocolos que permite a integração rápida entre diferentes sistemas sob uma interface de programação. Isso garante a criação simplificada de plataformas para desenvolvedores, possibilitando a comunicação entre aplicações. A ideia é otimizar operações e aprimorar a experiência digital das pessoas.
Só que qualquer tecnologia traz riscos de segurança. E eles podem resultar em tentativas de golpes, extorsões, entre outros crimes e toda sorte de prejuízos às organizações. Conforme um estudo realizado pela Marsh McLennan e citado em relatório da empresa especializada em segurança cibernética Imperva, a média do custo de incidentes envolvendo APIs nos Estados Unidos chega a US$ 300 bilhões.
Segundo Ana Cerqueira, gerente nacional da Imperva Brasil, empresas maiores tiveram um aumento de 25% nos ataques através de API nos últimos cinco anos. “Como as perdas podem ser de cifras altas, esse grupo se tornou um alvo dos hackers”, afirmou a executiva, durante o fórum ao vivo Segurança cibernética: o segredo das APIs, realizado pela MIT Sloan Review Brasil em parceria com a Yssy & Co e a Imperva.
Mas o estudo da Imperva chama atenção pelo fato de não serem apenas as grandes organizações que devem se preocupar com segurança cibernética. Isso porque a maioria dos ataques acontecem com empresas que faturam menos de US$ 50 milhões ao ano. Nesse contexto, os alvos mais comuns são as áreas de informação, serviços especializados e comércio varejista.
Depois de atacar uma API, o invasor se vê diante da possibilidade de cometer diversos delitos. “Os criminosos podem lançar pedidos e emitir notas fiscais, por exemplo. Dessa forma, o pagamento vai para suas contas, em toda a infraestrutura do crime. Eles estão em busca de brechas nesses sistemas”, explica Vagner de Araújo Santos, diretor de segurança da informação da Yssy & Co.
É por isso que a segurança cibernética está se desenvolvendo cada vez mais – esse mercado cresce quase 10% ao ano, segundo estimativa da consultoria SkyQuest. Cerqueira explica que a segurança precisa fazer parte de qualquer negócio em razão do crescimento digital. Afinal, quanto mais tecnologias, mais opções os invasores têm. Isso traz desafios e impõe a necessidade de soluções como segurança de perímetro e criptografia. “A adoção de novas tecnologias aumenta a necessidade de controle e gestão e a chegada da computação em nuvem traz novos desafios, abrindo espaço para novos tipos de ataque”, diz a executiva da Imperva.
Não existe uma receita pronta quando se fala de proteção de APIs. “O que funciona hoje para você pode não funcionar no futuro, porque é um ambiente que se transforma, se modifica”, explica Ana Cerqueira. Para a gerente nacional da Imperva Brasil, a mentalidade de segurança das empresas deve apropriar uma visão de jornada, com reavaliações a todo momento, e não uma solução pronta para ser implantada de forma pontual. “Ë preciso uma visão estratégica do risco. Segurança não é mais só resolver o básico”, alerta.
Durante o debate, os especialistas destacaram que a análise de riscos também tem grande relevância. Afinal, o risco sempre existe e é necessário ponderar se vale a pena mantê-lo ou se deve ser evitado, decidir qual a melhor maneira de manejá-lo para mitigar prejuízos à empresa. O monitoramento humano é obviamente inviável, daí a importância de tecnologias de machine learning nesses casos.
Também se deve levar em consideração a real necessidade de compartilhar uma determinada informação. “Por exemplo, uma empresa que está criando um analytics, precisa mesmo saber o nome exato da pessoa? Ou pode ser um nome falso? Então essa troca de informação precisa ser monitorada. Por vezes, elas podem ser anonimizadas ou mascaradas”, comenta Vagner. “O manejo de banco de dados se tornou mais complexo. O momento é de desconstruir uma percepção anterior e atrelar cada vez mais o negócio à TI e à segurança cibernética”, acrescenta.
No ataque ao Banco PAN, por exemplo, informações como o número das contas estavam mascaradas. Dessa forma, dados bancários não foram comprometidos mesmo com a invasão ao sistema. Esse é apenas um exemplo de como uma análise individualizada, levando em consideração as motivações por trás do armazenamento de cada dado, podem prevenir problemas de segurança cibernética.
Para Pedro Nascimento, conselheiro de MIT Sloan Review Brasil e mediador do evento, os dados podem ser como o petróleo. Mas também são o novo urânio. “Eles podem ser muito bem utilizados, mas se não forem bem armazenados, você morre.” “