Site da Danone é alvo de invasão

[ad#texto]
Aconteceu de novo, um site de uma grande empresa banaliza a segurança, entende que aporte financeiro em segurança é despesa e não investimento e dá nisso.

Esse final de semana o site da Danone foi invadido.

A invasão na verdade foi mais uma brincadeira, pois em um determinada receita dentre as muitas que o site possui como uma espécie de dica teve uma imagem inserida no lugar dos ingredientes.

Screen shoot do site da Danone
Screen shoot do site da Danone

Aparente o único dano causado em todo o site foi o defacer exibido na imagem acima. Nenhuma informação acerca de clientes ou outros danos foram relatados pela Danone ou percebidos pelos usuários.

Como a Danone não se pronunciou muito sobre essa invasão e consequentemente não informou qual falha de segurança foi utilizada como porta de entrada e levando em conta o tipo de defacer realizado creio que foi uma falha no sistema que dá origem ao site.

Alguma pessoa com certo conhecimento técnico pode ter utilizado algum formulário do próprio site e que não tinha o devido controle e filtragem dos dados digitados para inserir algum tipo de script (pode ser JavaScript ou SQL, por exemplo) para alterar a forma como esta página em especial é carregada no browser do usuário e assim conseguir a invasão.

Como desenvolver sites e sistemas seguros para que não ocorram esse tipo de falha de segurança? É mais fácil do que você imagina.

Eu sempre falo aqui de que esse tipo de risco na segurança de um site ou sistema web é fácil de evitar, basta ter um pouco de disciplina e direcionar o seu projeto para a segurança. Mas se você não faz a lição de casa fica difícil operar na Internet de maneira segura.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.