Scripts de navegadores de terceiros são trechos de código que as organizações colocam em seus sites para veicular anúncios, análises, chatbots, etc. — basicamente qualquer coisa que não seja codificada pela própria organização.
O que parece inócuo o suficiente, mas esses scripts estão sendo cada vez mais usados como um vetor para ataques cibernéticos. Conversamos com Simon Wijckmans, CEO da c/side, para entender como esses ataques operam e o que pode ser feito para se defender deles.
BN: Quão significativos são os scripts de navegadores de terceiros como problema de segurança na web? As empresas estão fazendo o suficiente para proteger esse vetor de ameaça?
SW: Scripts de navegador de terceiros — coletivamente, a cadeia de suprimentos do navegador — continuam sendo uma ameaça subestimada à segurança da web. A falta de governança no uso de scripts de terceiros leva a vazamentos de dados, e a maioria das organizações não tem visibilidade, proteção e, francamente, conhecimento suficientes.
Sites modernos dependem muito de scripts de terceiros carregados externamente para funcionalidades como análises, chatbots, anúncios gráficos, etc. A experiência do usuário depende desses scripts — eles não vão a lugar nenhum. Mas uma vulnerabilidade ou comprometimento em qualquer um desses inúmeros (e às vezes até extintos) provedores de terceiros pode levar a violações de dados generalizadas e incidentes de segurança quando os scripts são sequestrados. Scripts maliciosos podem roubar informações confidenciais (não criptografadas) diretamente do navegador do usuário — sem seu conhecimento.
Apesar de grandes incidentes como a violação da British Airways, que expôs os detalhes de pagamento dos clientes, a segurança da cadeia de suprimentos do navegador não se recuperou. Embora a segurança de TI tenha visto mais investimento, a ameaça de scripts maliciosos de terceiros é minimizada ou tratada apenas por meio de requisitos básicos de conformidade, em vez de medidas de defesa específicas. Isso está acontecendo à medida que os navegadores se tornam cada vez mais complexos.
Processos e ferramentas de segurança legados fornecem escassa visibilidade em scripts executados dentro do navegador — uma lacuna gritante nas posturas de segurança da maioria das empresas. Sem monitorar todas as atividades e conteúdo de scripts de terceiros em tempo de execução, as empresas permanecem perigosamente expostas. Essa ameaça requer capacidades especializadas de detecção e resposta que a maioria das organizações não possui atualmente.
BN: A British Airways se tornou um exemplo precoce desse tipo de ataque na web. Quais lições foram aprendidas desde aquele incidente (e as grandes multas que se seguiram)?
SW: A violação de dados da British Airways foi a primeira a realmente mostrar o poder de um script sequestrado. Algumas coisas deram errado lá, mas, no final das contas, os dados foram enviados diretamente dos navegadores dos usuários para um endpoint de propriedade do invasor — por dias até serem descobertos. Embora ataques semelhantes tenham ocorrido, e recentemente incidentes de perda de dados por meio de scripts de terceiros implementados em todo o site tenham surgido (basta olhar para o incidente recente na gigante de seguros dos EUA Kaiser Permanente), o hack da British Airways continua a oferecer lições críticas, incluindo:
- A necessidade de monitoramento abrangente de scripts de terceiros: a maioria dos sites utiliza mais de 30 scripts de terceiros que tiveram que ser totalmente examinados e protegidos. A maioria das empresas não consegue monitorar continuamente todos esses scripts em tempo de execução e não há governança, propriedade ou ponto de contato claros para eles.
- A segurança legada é insuficiente: medidas de segurança tradicionais, como monitoramento de rede, não conseguiram detectar o ataque de skimming porque ele se originou de scripts executados nos navegadores dos usuários.
- Penalidades severas de conformidade são possíveis: a British Airways e a Ticketmaster enfrentaram multas recordes do GDPR (posteriormente reduzidas devido à pandemia).
- Os danos à reputação são muito reais: além das penalidades financeiras, as marcas sofreram um golpe significativo que abalou a confiança do consumidor e gerou processos judiciais.
- Nenhuma empresa é grande demais para ser vulnerável: uma das maiores companhias aéreas, esse ataque mostrou que até mesmo grandes empresas podem ser pegas desprevenidas por esse vetor de ameaça.
BN: Qual o papel da conformidade com a segurança cibernética na proteção de scripts de navegadores de terceiros?
SW: Requisitos de conformidade — particularmente o padrão PCI DSS 4.0 atualizado, são muito relevantes para a cadeia de suprimentos do navegador. Os novos requisitos do PCI exigem explicitamente o monitoramento de quaisquer scripts ou bibliotecas de código de terceiros que possam potencialmente acessar dados de pagamento durante transações digitais.
Versões anteriores do PCI não forneciam orientações tão específicas sobre segurança de scripts de terceiros. O risco não foi abordado em muitas empresas. Sob o PCI DSS 4.0, as empresas que lidam com dados de cartão de pagamento agora passarão por auditorias e avaliações focadas em sua capacidade de analisar continuamente o conteúdo de scripts de terceiros que está sendo carregado e executado em seus fluxos de pagamento. A falha em implementar controles rigorosos e recursos de monitoramento para scripts de terceiros neste contexto pode e resultará em empresas sendo consideradas não compatíveis com o PCI DSS 4.0. Isso as expõe a multas potenciais, maiores taxas de transação de marcas de pagamento e até mesmo ao risco de ter sua capacidade de processar pagamentos com cartão revogada completamente até que as remediações sejam feitas. Muitas vezes, as seguradoras cibernéticas exigem conformidade com o PCI DSS para fornecer cobertura.
As organizações devem dedicar recursos qualificados para construir soluções próprias para monitoramento e análise de scripts ou, mais provavelmente, adotar ferramentas de segurança especializadas de terceiros, projetadas especificamente para segurança abrangente de scripts de navegadores de terceiros e gerenciamento de risco da cadeia de suprimentos. Manter a conformidade com o PCI se tornou um fator-chave que força as empresas a levarem a sério esse vetor de ataque emergente.
BN: No caso de um ataque à cadeia de suprimentos do navegador, quais medidas as empresas devem tomar quando a violação for detectada? Quanto dano pode ser mitigado?
SW: As equipes precisam agir rapidamente. Quaisquer scripts ou bibliotecas de código de terceiros comprometidos devem ser imediatamente bloqueados de carregar e executar no navegador. Isso pode ser feito removendo o script do código frontend e atualizando os cabeçalhos da Política de Segurança de Conteúdo para evitar que os scripts maliciosos sejam renderizados. Quaisquer domínios controlados por invasores identificados utilizados para exfiltração de dados também devem ser imediatamente sinalizados publicamente.
Em seguida, as empresas precisam comunicar o incidente de forma transparente aos clientes, parceiros e quaisquer órgãos reguladores relevantes afetados. Dependendo dos dados expostos, isso pode envolver a notificação de marcas de pagamento, autoridades de privacidade ou outras entidades de supervisão por requisitos de conformidade. Do ponto de vista da investigação, a análise deve tentar entender os scripts inicialmente comprometidos, identificar quaisquer scripts ou códigos adicionais que possam ter sido adulterados e concluir um inventário completo dos dados potencialmente exfiltrados durante a janela de ataque. As equipes de resposta a incidentes e perícia digital podem trabalhar para conter e remediar a violação.
Embora essas etapas possam evitar mais perdas de dados, qualquer informação sensível do cliente já roubada é incrivelmente difícil de recuperar ou mitigar os danos. Roubo de identidade, fraude de pagamento e penalidades regulatórias podem ser impactos inevitáveis, dependendo da gravidade da violação. No entanto, uma resposta rápida e coordenada é essencial para minimizar o impacto geral ao cliente e restaurar a segurança o mais rápido possível em toda a cadeia de suprimentos do navegador.
BN: Como você vê a evolução do cenário dessas ameaças nos próximos anos?
SW: O risco vai além do sequestro de scripts de terceiros. Governança insuficiente leva os desenvolvedores a adivinhar e implementar scripts em todo o site, incluindo em páginas com dados confidenciais. Com o tempo, os motivos originais pelos quais certos scripts existem desaparecem (e novas contratações não têm contexto). A filosofia de “nunca mudar um sistema em execução” leva a melhor.
Muitos fornecedores de script são voláteis, com mudanças frequentes de propriedade e modelos de negócios, o que pode levar à venda de dados. Frameworks da web modernos lidam muito mal com scripts de terceiros. Por exemplo: webapps de página única permitem que scripts persistam de 'página' para 'página', já que a página da web não é renderizada novamente no navegador (em vez disso, o framework renderiza novamente a visualização usando JavaScript). Isso pode levar ao inchaço do script e à exposição de informações confidenciais.
Também crítico para a conversa: os navegadores estão se tornando cada vez mais poderosos. Com tecnologias como IndexedDB, WASM, WebGPU e Private Network Access, a superfície de ataque aumentou significativamente. Os provedores de mecanismos de navegador estão adicionando cada vez mais funcionalidades, pois há uma demanda constante por recursos novos e aprimorados em navegadores. Ao mesmo tempo, mais de nossas experiências cotidianas estão acontecendo em navegadores, mesmo quando não estão claramente visíveis.
Com o escopo atual de negócios e conformidade, as empresas gastam tempo e esforço consideráveis cobrindo sua infraestrutura e comportamentos do lado do servidor contra ataques. Elas armazenam seus dados de maneiras que reduzem a escala de incidentes se os dados vazarem por meio de hash ou criptografia de seus dados mais sensíveis. Enquanto isso, os navegadores dos usuários são o único lugar onde um agente mal-intencionado pode acessar facilmente dados sensíveis não criptografados. No entanto, devido à falta de pressão nos padrões de conformidade existentes, isso ainda não tem sido um foco para muitos.
A combinação da funcionalidade em evolução do navegador, adoção de wrappers de navegador, frameworks lidando com risco de script de terceiros de maneiras inseguras e a falta de conformidade das empresas tornam esse um espaço cada vez mais problemático. Esperamos que a conformidade com o PCI DSS ajude as pessoas a entender o risco e evitar ataques em que os dados do usuário acabem nas mãos de pessoas erradas.
Crédito da imagem: Solarseven / Dreamstime.com
![T-Mobile conclui com sucesso teste de alerta de emergência sem fio via satélite Starlink](https://emundodigital.com/wp-content/uploads/2024/09/T-Mobile-conclui-com-sucesso-teste-de-alerta-de-emergencia-sem.jpeg")
![Scosche lança novos acessórios para os mais recentes dispositivos da Apple](https://emundodigital.com/wp-content/uploads/2024/09/Scosche-lanca-novos-acessorios-para-os-mais-recentes-dispositivos-da.jpeg")
![Usei o KnowRoaming eSIM em uma viagem pela França e foi isso que aprendi (análise)](https://emundodigital.com/wp-content/uploads/2024/09/Usei-o-KnowRoaming-eSIM-em-uma-viagem-pela-Franca-e.jpg")