Aconteceu de novo, um site de uma grande empresa banaliza a segurança, entende que aporte financeiro em segurança é despesa e não investimento e dá nisso.
Esse final de semana o site da Danone foi invadido.
A invasão na verdade foi mais uma brincadeira, pois em um determinada receita dentre as muitas que o site possui como uma espécie de dica teve uma imagem inserida no lugar dos ingredientes.
Screen shoot do site da Danone
Aparente o único dano causado em todo o site foi o defacer exibido na imagem acima. Nenhuma informação acerca de clientes ou outros danos foram relatados pela Danone ou percebidos pelos usuários.
Como a Danone não se pronunciou muito sobre essa invasão e consequentemente não informou qual falha de segurança foi utilizada como porta de entrada e levando em conta o tipo de defacer realizado creio que foi uma falha no sistema que dá origem ao site.
Alguma pessoa com certo conhecimento técnico pode ter utilizado algum formulário do próprio site e que não tinha o devido controle e filtragem dos dados digitados para inserir algum tipo de script (pode ser JavaScript ou SQL, por exemplo) para alterar a forma como esta página em especial é carregada no browser do usuário e assim conseguir a invasão.
Como desenvolver sites e sistemas seguros para que não ocorram esse tipo de falha de segurança? É mais fácil do que você imagina.
Eu sempre falo aqui de que esse tipo de risco na segurança de um site ou sistema web é fácil de evitar, basta ter um pouco de disciplina e direcionar o seu projeto para a segurança. Mas se você não faz a lição de casa fica difícil operar na Internet de maneira segura.
Ofertas Submarino
![[del.icio.us]](http://images.del.icio.us/static/img/delicious.small.gif){kind=small}
Leia mais:
Diversos · internet · segurança
Vanessa · 3 de agosto de 2010 às 16:56
De onde tirou essa informação?
Acho que se enganou, printaram a página e inseriram um JPEG porco que estava rolando na internet! Bjs
Author comment by Petter Rafael · 4 de agosto de 2010 às 20:50
Então, essa informação foi veiculada em diversos sites especializados na área e em diversos canais de noticias.
Até onde eu pude apurar foi apenas um defacer e não necessariamente uma invasão.
Caso tenha a fonte informando que foi apenas um fake me informe que eu corrijo a noticia, afinal a Internet é cheio de gente desocupada e com muita criatividade.