¿Son realmente seguros sus tokens de seguridad?
Explore cómo Reflectiz ayudó a un minorista gigante a exponer un píxel de Facebook que seguía de forma encubierta tokens CSRF sensibles debido a configuraciones erróneas de errores humanos. Aprenda sobre el proceso de detección, las estrategias de respuesta y los pasos tomados para mitigar este problema crítico. Descargue el estudio de caso completo aquí.
Al implementar las recomendaciones de Reflectiz, el minorista evitó lo siguiente:
- Posibles multas de GDPR (hasta € 20m o 4% de la facturación)
- Costo de violación de datos de $ 3.9 millones [on average]
- 5% de rotación de clientes
Introducción
Es posible que no sepa mucho sobre los tokens CSRF, pero como minorista en línea, debe saber lo suficiente para evitar cualquier sobrevaluación accidental de ellos por el píxel de Facebook. Describirse esto podría significar enormes multas de los reguladores de protección de datos, por lo que el propósito de este artículo es brindarle una breve descripción del problema y explicar la mejor manera de proteger su negocio contra él.
Puede explorar este tema clave con mayor profundidad descargando nuestro nuevo estudio de caso gratuito sobre el tema. [from here]. Pasa por un ejemplo del mundo real de cuando esto le sucedió a un minorista global de ropa en línea y estilo de vida. Explica el problema que enfrentaron con más detalle, pero este artículo es una descripción general del tamaño de la amenaza de ponerlo al día.
Echemos un vistazo más profundo a cómo se desarrolló este problema y por qué es importante para la seguridad en línea.
¿Qué pasó y por qué importa?
En pocas palabras, una solución de monitoreo de amenazas web llamada Reflectiz descubrió una fuga de datos en los sistemas del minorista que otros no: su píxel de Facebook estaba sobrevalorando una tecnología de seguridad llamada tokens CSRF que debería haber mantenido en secreto.
Se inventaron los tokens CSRF para detener la CSRF, que representa falsificación de solicitud de sitio cruzado. Es un tipo de ataque cibernético que implica engañar a una aplicación web para realizar ciertas acciones convenciéndolo de que provenían de un usuario autenticado.
Esencialmente, explota la confianza que la aplicación web tiene en el navegador del usuario.
Así es como funciona:
- La víctima se registra en un sitio web de confianza (por ejemplo, su banca en línea).
- El atacante crea un enlace o guión malicioso y engaña a la víctima para que haga clic (esto podría suceder por correo electrónico, redes sociales u otro sitio web).
- El enlace malicioso envía una solicitud al sitio web de confianza. Dado que la víctima ya está autenticada, su navegador incluye automáticamente su Cookies de sesión o credenciales, haciendo que la solicitud parezca legítima para la aplicación web.
- Como resultado, la aplicación web llevará a cabo la acción en la solicitud maliciosa del atacante, como transferir fondos o cambiar los detalles de la cuenta, sin el consentimiento de la víctima.
[Note that this is not a malicious activity event. All ‘blockers’ that monitor the traffic for malicious scripts would not detect any issues.]
Los desarrolladores pueden usar varias herramientas para evitar que esto suceda, y una de ellas son los tokens CSRF. Se aseguran de que los usuarios autenticados solo realicen las acciones que pretenden, no las solicitadas por los atacantes.
Reflectiz recomendó almacenar tokens CSRF en cookies httponly, que evita que los scripts de terceros, como Facebook Pixel, accedan a ellos.
El problema de la configuración errónea
En el ejemplo de estudio de caso [that you can find here] El píxel de Facebook del minorista había sido accidentalmente mal configurado. La configuración errónea permitió que el píxel acceda inadvertidamente a los tokens CSRF, elementos de seguridad crítica que impiden acciones no autorizadas en nombre de los usuarios autenticados. Estos tokens fueron expuestos, creando una seria vulnerabilidad de seguridad. Esta violación del riesgo de arriesgar múltiples problemas de seguridad, incluidas posibles fugas de datos y acciones no autorizadas en nombre de los usuarios.
Al igual que muchos minoristas en línea, su sitio web probablemente usará el Pixel de Facebook para rastrear las actividades de los visitantes para optimizar su publicidad en Facebook, pero solo debería estar recopilando y compartiendo la información que requiere para ese propósito, y solo debería hacerlo después de obtener los permisos de los usuarios correctos. Dado que los tokens CSRF nunca deben compartirse con un tercero, ¡eso es imposible!
Así es como funciona la tecnología de Reflectiz para descubrir tales vulnerabilidades antes de que se conviertan en serios riesgos de seguridad.
La solución
Se empleó la plataforma de seguridad automatizada de Reflectiz para monitorear el entorno web del minorista. Durante un escaneo de rutina, Reflectiz identificó una anomalía con el píxel de Facebook. Se descubrió que interactuaba con la página incorrectamente, accediendo a tokens CSRF y otros datos confidenciales. A través del monitoreo continuo y el análisis de comportamiento profundo, Reflectiz detectó esta transmisión de datos no autorizada a las pocas horas de la violación. Esto fue un poco como compartir las claves de su casa o la contraseña de su cuenta bancaria. Son acciones que otros podrían explotar en el futuro.
Reflectiz actuó rápidamente, proporcionando un informe detallado al minorista. El informe describió la configuración errónea y las acciones inmediatas recomendadas, como los cambios de configuración en el código de píxel de Facebook, para evitar que el píxel acceda a datos confidenciales.
Protección de datos Los reguladores tienen una visión tenue de su negocio, incluso si accidentalmente eclipsa este tipo de información restringida con terceros no autorizados, y las multas pueden llegar fácilmente a millones de dólares. Es por eso que los 10 a 11 minutos te llevará a Lea el estudio de caso completo Podría ser la mejor inversión de tiempo que realiza todo el año.
Siguientes pasos
Las recomendaciones de Reflectiz no solo se detuvieron con soluciones inmediatas; Sentaron las bases para las mejoras de seguridad continuas y la protección a largo plazo. Así es como puede proteger su negocio de riesgos similares:
- Auditorías de seguridad regulares:
- Monitoreo continuo: implementar un sistema de monitoreo continuo Para rastrear todos los scripts de terceros y su comportamiento en su sitio web. Esto lo ayudará a detectar posibles vulnerabilidades y configuraciones erróneas en tiempo real, evitando los riesgos de seguridad antes de que se intensifiquen.
- Auditorías de seguridad periódicas: Programe auditorías regulares para garantizar que todas las medidas de seguridad estén actualizadas. Esto incluye verificar las vulnerabilidades en sus integraciones de terceros y garantizar el cumplimiento de los últimos estándares de seguridad y las mejores prácticas.
- Gestión de script de terceros:
- Evalúe y controle los scripts de terceros: revise todos los scripts de terceros en su sitio web, como el seguimiento de los píxeles y las herramientas de análisis. Limite el acceso que estos scripts tienen para que los datos confidenciales y asegúrese de que solo reciban los datos necesarios para su función.
- Use socios confiables: solo trabaje con proveedores de terceros que cumplan con los estrictos estándares de seguridad y privacidad. Asegúrese de que sus prácticas de seguridad se alineen con las necesidades de su negocio para evitar el intercambio de datos no autorizados.
- Protección del token CSRF:
- Cookies Httponly: siga la recomendación de Reflectiz para almacenar tokens CSRF en cookies httponly, lo que evita que JavaScript (incluidos los scripts de terceros) accedan a ellas. Esta es una medida clave para proteger los tokens del acceso no autorizado por parte de proveedores de terceros.
- Haga cumplir los atributos de cookies seguros: asegúrese de que todos los tokens CSRF estén almacenados con atributos seguros y samsite = estrictos para protegerlos de ser enviados a solicitudes de origen cruzado y mitigar el riesgo de exposición a través de scripts de terceros maliciosos.
- Privacidad por diseño:
- Integre la privacidad en su proceso de desarrollo: como parte de sus procesos de desarrollo e implementación, adopte un Enfoque de privacidad por diseño. Asegúrese de que las consideraciones de privacidad estén a la vanguardia, desde la forma en que los datos se almacenan hasta la forma en que los scripts de terceros interactúan con su sitio.
- Gestión de consentimiento del usuario: actualice regularmente sus prácticas de recopilación de datos, asegurando que los usuarios tengan control sobre los datos que comparten. Siempre obtenga un consentimiento claro e informado antes de compartir cualquier datos confidenciales con terceros.
- Educar a su equipo:
- Capacitación de seguridad: asegúrese de que sus equipos de desarrollo y seguridad estén bien entrenados en los últimos protocolos de seguridad, especialmente relacionados con la privacidad de los datos y la protección de CSRF. La conciencia y la comprensión de los riesgos de seguridad son los primeros pasos para prevenir problemas como este.
- Colaboración entre Departamentos: Asegúrese de que los equipos de marketing y seguridad estén alineados, especialmente cuando se usan herramientas de terceros como el Pixel de Facebook. Ambos equipos deben trabajar juntos para garantizar que se consideren las preocupaciones de seguridad y privacidad al implementar dichas herramientas.
- Adoptar un enfoque de confianza cero:
- Modelo de seguridad de confianza cero: considere adoptar un enfoque de seguridad de confianza cero. Este modelo supone que todos los usuarios, tanto dentro como fuera de la red, no están confiados y verifican cada solicitud antes de otorgar acceso. Al aplicar esta filosofía a los intercambios de datos entre su sitio y los servicios de terceros, puede minimizar la exposición a riesgos.
Al implementar estos próximos pasos, puede fortalecer de manera proactiva su postura de seguridad, salvaguardar sus datos confidenciales y evitar problemas similares en el futuro. Las ideas de Reflectiz proporcionan la hoja de ruta para construir un entorno web más resistente y seguro. Proteger a su negocio de las amenazas emergentes es un esfuerzo continuo, pero con los procesos y herramientas adecuados, puede asegurarse de que sus sistemas sigan siendo seguros y cumplidos.
About the Author
