Abbiamo già parlato dei rischi e delle minacce cui vanno incontro Web Application e API ed in particolare delle Injection, in questo articolo affronteremo il caso in cui vengono esposti dati sensibili senza rendersene conto. Il Garante della Privacy ha chiaramente le antenne puntate sull’argomento perchè spesso l’esposizione di dati sensibili vuol dire esporre dati personali e non ha risparmiato multe a chiunque avesse, anche inavvertitamente, esposto dati personali in maniera errata. Tra i dati sensibili occorre comunque considerare tutti quei dati aziendali e strategici che possono avere un grave impatto sull’azienda.
Cos’è l’attacco di tipo Sensitive-Excessive Data Exposure
Un’esposizione eccessiva di dati sensibili avviene sempre per colpa di chi realizza il software, l’hacker non fa altro che sfruttare la leggerezza dei progettisti e degli sviluppatori nella gestione dei dati per estrarre informazioni sensibili come: password, carte di credito, dati sanitari, segreti aziendali e qualsiasi informazione che abbia una qualche rivendibilità ed utilizzo.
E’ un problema molto grave(tanto che OWASP lo inserisce al 3° posto dei rischi delle API) ed anche molto comune perchè tanti progetti di sviluppo non passano alcuna validazione di sicurezza o alcun test specifico e gli errori di implementazione, configurazione, progettazione, sviluppo sono assolutamente umani, errare humanun est dicevano i latini ma seppur tale errore può generare comprensione per via dell’umana natura, in realtà per te e per la tua azienda si traduce in un gravissimo danno ed in un problema da gestire con immediatezza. In Glue Labs consapevoli che errare è umano e chiunque può commettere un errore, tutti i software passano da processi di Analisi Funzionale e Code Review da parte di persone terze rispetto allo sviluppo così da mitigare al massimo il rischio e riuscire anche a garantirti il software realizzato ben 12 mesi da qualsiasi bug.
Come prevenire il Sensitive-Excessive Data Exposure
Per prevenire l’esposizione di informazioni sensibili:
- classifica opportunamente i dati processati, archiviati e trasmessi dalle tue applicazioni;
- identifica correttamente quali dati devono essere considerati sensibili in base alle norme, ai regolamenti o alle esigenze del tuo business;
- applica gli opportuni controlli in base alla classificazione;
- non archiviare dati sensibili se non sono necessari ed eliminali appena terminata l’esigenza;
- utilizza tecniche come il tokenization del PCI DSS;
- cifra tutti i dati sensibili;
- assicurati di aver utilizzato gli algoritmi, i protocolli e le chiavi più aggiornate;
- utilizza appropriati processi di key management e data retantion;
- rafforza la cifratura dei dati durante la trasmissione tra applicazioni differenti e verso gli utilizzatori finali
- disabilita la cache sui dati sensibili (scopri l’impatto di questo errore con gli esempi di INPS e dell’ esame di stato per avvocati)
Glue Labs e la Sicurezza delle Web Application e delle API
Grazie alle competenze maturate in tantissimi settori e con numerosi Clienti, al possesso di certificazioni internazionali dei più alti livelli ti forniamo assistenza e supporto tecnico per la protezione delle tue applicazioni, formazione avanzata, Penetration Test, Cyber Risk Assessment e molto altro. Contattaci subito e senza impegno per un preventivo gratuito.
