Segurança da aplicação – sua empresa leva a sério esse tema?

Publicado em: 08 de Junho de 2020

Sidney Galeote

Sócio Fundador da ExSeed - Excellence in Software Engineering Education;
Professor Universitário

Segurança de dados não é assunto novo, mas tem ganhado alguma luz nos últimos anos. Muito aquém do necessário, mas é um suspiro para aqueles que sabem os riscos ao que os dados de uma aplicação do tipo Web ou Mobile estão expostas. Os desenvolvedores primariamente estão na maioria das vezes preocupados em fazer o código funcionar. Despenho, usabilidade e segurança, geralmente são assuntos secundários. E é dessa forma que são gestadas muitas aplicações com sérias falhas de segurança. No mês passado o site Techtudo publicou um artigo intitulado “Globoplay hackeado: Globo divulga nota sobre notificação enviada a usuários”, veja aqui.
Pode ser que você como usuário do Globoplay disparou um gatilho: “alto lá, sou usuário desse aplicativo!” Será que meus dados foram vazados? No início do artigo lê-se: “De acordo com a empresa, o ato de “cibervandalismo” se limitou ao sistema de push notifications, os alertas que chegam aos smartphones com dicas da programação. “Nenhuma informação dos usuários, assinantes ou não, foi comprometida”, informa o comunicado.”

Embora a Globo diga que nenhuma informação dos usuários tenha sido comprometida, ainda assim seus usuários foram expostos a uma mensagem indesejada, que poderiam eventualmente causar algum tipo de dando aos seus clientes.

Essa é uma face de aplicações com falhas de segurança – expor os seus clientes ou os dados deles. Há ainda uma outra face – expor a imagem da empresa que sofreu o ataque. Será que você eventualmente como usuário da Globoplay, depois desse evento ainda vê com os mesmos olhos e com a mesma confiança os serviços de aplicativos da empresa?

No artigo em questão, está relatado a íntegra da nota que a Globo divulgou sobre o incidente. No item 3 diz-se: “Não existe qualquer risco em usar o Globoplay, em qualquer plataforma. Não é necessário desinstalar o aplicativo nem trocar senha.”

Umm… sei, diga-me mais sobre isso…. quer dizer que não há qualquer risco em usar o Globoplay, mas conseguiram a partir dele enviar uma mensagem diretamente para o meu usuário dessa plataforma? Entendo que a falha possa não estar no APP, então não adianta eu o desinstalar. Mas houve uma falha no ambiente em que o APP roda?

No item 5 diz-se: “O incidente se limitou a um sistema periférico e a uma única conta, já identificada e eliminada”. Um clássico na área de segurança – provavelmente uma conta esquecida em algum dos sistemas da Globoplay, eventualmente com mais privilégios que o necessário ou ainda com algum tipo de senha fraca. Pior – pode ser uma conjunção dos dois fatores.

Se vai desenvolver aplicações Web ou Mobile, que serão expostas ao público em geral, essas são tipos de aplicações onde o risco de algum tipo de invasão é elevado, e como tal precisa de tratamento adequado. Procure saber mais sobre conceitos como DevSecOps, SAST e DAST para que a segurança seja uma dimensão da qualidade tratada desde o início do desenvolvimento do sistema. O que inicialmente pode parecer agregar custo ao seu processo de desenvolvimento, depois da implantação do seu sistema, pode garantir melhores noites de sono para sua empresa e seus clientes, além de preservar a imagem da sua empresa.

Conheça nosso treinamento CTAL-ST Certified Tester Advanced Level Security Tester.