O crime informático é uma realidade bastante comum no nosso país, mas isso não significa que todas as empresas façam uma análise de risco. Na verdade, segundo um estudo recente, há uma elevada percentagem de vulnerabilidades que deixam as empresas muito expostas.
Crime informático: mais de 17 mil vulnerabilidades de 400 tipos diferentes
Entre setembro de 2022 e março de 2023, a Ethiack testou, com as devidas autorizações, a segurança de cerca de 7.500 “ativos digitais”, ou seja, servidores expostos na Internet e identificou mais de 17 mil vulnerabilidades de 400 tipos diferentes, sendo mais de 60% destes considerados impactantes e 12% com impacto “crítico”.
De acordo com André Baptista, cofundador da Ethiack…
os resultados obtidos com esta análise mostram que continua a ser relativamente fácil aceder aos sistemas de informação das empresas e que a deteção de ataques informáticos se encontra longe de ser rápida e eficaz. Isto, porque grande parte destas vulnerabilidades estão em ativos esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foi criado já foi descontinuado, mas a máquina continua lá.
Daí a importância dos hackers éticos, que permitem detetar e mitigar problemas antes que tenham impacto sério ao nível da empresa ou instituição
A partir do site da Ethiack, as empresas podem, durante um mês, a partir do momento de registo, obter gratuitamente um relatório completo que agrega a descrição das vulnerabilidades e a sua severidade, incluindo guias para a mitigação dos problemas, e uma reunião de trabalho para esclarecimento de dúvidas e procedimentos.
A Ethiack apurou que as vulnerabilidades mais detetadas são a RCE (Remote code execution), uma vulnerabilidade que permite a um atacante tomar conta de uma máquina/ativo digital, a XSS (Cross-site scripting), uma vulnerabilidade que permite “injetar” scripts em websites e o SQL injection, vulnerabilidade que permite alterar bases de dados, bem como obter dados confidenciais. Isto para além dos Business logic errors detetados, que são falhas ou imperfeições na programação que permitem ao hacker tomar conta da aplicação e, por exemplo, mudar as regras, lógicas ou privilégios de decisão da app.
Particularmente relevante – e preocupante – entre as conclusões desta análise da Ethiack, é o tempo que as equipas de segurança internas (Blue Teams) levam a reagir para corrigir e/ou mitigar uma vulnerabilidade, uma resposta que, segundo este estudo, é demasiado lenta.