Falhas de Autorização

As SANS ou SAS como uma das falhas frequentes, as falhas de autorização são erros críticos que permitem o acesso e intervenção de usuários não autorizados a dados e funcionalidades restritas. É o caso de empresas que possuem um sistema com especificações de acesso por grupo de funcionários, sendo que cada grupo possui permissão para acessar determinados dados. Quando essa autorização é falha e permite que áreas restritas sejam acessadas por grupos não autorizados, temos um legítimo erro de autorização.

Ainda que esse acesso indevido não constitua um problema em primeira instância, já que estamos tratando de usuários internos, essa falha demonstra um alto potencial de vulnerabilidade do software a possíveis ataques ou falta de escopo do projeto. Como o caso Startup Mevo teve brechas que permitiram vazamento de receitas médicas com informações pessoais

Falhas de criptografia

O uso da criptografia para a proteção de dados sensíveis (dados pessoais, como endereço, CPF, telefone e outros) é prática comum entre os programadores. Quando fazemos uma transação por exemplo, sabemos que os dados inseridos serão criptografados se observarmos o desenho de um pequeno cadeado ao lado do campo a ser preenchido com os dados.

A criptografia possibilita uma disposição ilegível das informações sensíveis, de forma que sua leitura seja dificultada em caso de invasão ou cópia de dados. Porém, o uso de um esquema criptográfico falho, amador, pode facilitar ataques mal-intencionados colocando em risco bancos de dados altamente confidenciais. A transmissão de informações relevantes em textos não criptografados é outra falha comum que põe em risco dados sensíveis.

A falha do Heartbleed, apelido dado para falha no método criptográfico OpenSSL, apontou para a insegurança de dados  inseridos em sites como Twitter, Facebook, Instagram e no próprio Google. Se até os gigantes da web estão sujeitos à de falhas, que dirá os softwares privados.

Falhas de API

Ultimamente tenho prestado muita atenção a assuntos relacionados a proteção de dados e se as empresas estão se adaptando as novas diretrizes que a LGPD. O fato das APIs estarem envolvidas diretamente na comunicação entre diversos sistemas é motivo suficiente para que você se preocupe com a integridade de seus dados enquanto estes são transferidos para outros dispositivos.

Como no desenvolvimento de sistemas que levam os dados obtidos através de uma API em domínios como do Ministério do Trabalho, que em 19/03/2021 houve um vazamento de dados através de um API disponibilizava dados dos Brasileiros. Em outro caso em falha na api que era acessado pelo site da vivo.

Fonte: tecnoblog