COMENTÁRIO
Uma das poucas informações verdadeiramente imutáveis e potencialmente inestimáveis é a informação genética. Não podemos mudar o nosso genoma em grande medida. Ao contrário dos dados biométricos, que podem ser armazenados em qualquer número de diferentes estruturas algorítmicas ou hash, a informação genética pode ser invariavelmente reduzida a simples sequências de pares de aminoácidos. O cenário de pesadelo, então, é que agentes mal-intencionados invadam um banco de dados genético e obtenham acesso aos projetos biológicos para um grande número de pessoas.
Recentemente, esse pesadelo se tornou realidade com o hack da empresa de testes genéticos 23andMe. Atacantes usaram clássico técnicas de preenchimento de credenciais acessar ilegalmente 14,000 contas de usuários. Mas eles não pararam por aí. Devido aos recursos de compartilhamento do 23andMe que permitem aos usuários compartilhar e ler dados de outros usuários que possam estar relacionados, os hackers conseguiram extrair dados genéticos de 6.9 milhões de pessoas. Os invasores postaram ofertas na Dark Web por 1 milhão de perfis. A 23andMe não divulgou o impacto total até um mês após o ataque.
Para proteger os usuários, a 23andMe está solicitando que todos os usuários alterem imediatamente suas senhas e garantam que sejam únicas e complexas. Isto é bom, mas insuficiente. Mais importante ainda, a empresa está inscrevendo automaticamente os clientes existentes na autenticação de dois fatores para obter uma camada extra de segurança. Em vez de esperar pelo evento catastrófico inevitável, cada aplicativo de software como serviço (SaaS) deve tornar o 2FA obrigatório e as melhores práticas devem ser transferidas do 2FA para o MFA com um mínimo de três fatores disponíveis. Agora é uma questão de segurança pública e deveria ser obrigatória, assim como os fabricantes de automóveis devem incluir cintos de segurança e airbags nos seus veículos.
Os efeitos de rede multiplicam os impactos do comprometimento
Muitas de nossas contas e aplicativos SaaS incluem recursos de rede que aumentam exponencialmente a exposição. No caso do 23andMe, os dados expostos incluíam informações de perfis de DNA Relatives (5.5 milhões) e perfis de árvore genealógica (1.4 milhão) que os 14,000 usuários da conta compartilharam ou tornaram acessíveis. Essas informações incluíam locais, nomes de exibição, rótulos de relacionamento e DNA compartilhado com correspondências, bem como anos de nascimento e locais de alguns usuários. Embora o valor de mercado dos dados de ADN para hackers permaneça obscuro, a sua singularidade e natureza insubstituível suscitam preocupações sobre a potencial utilização indevida e o seu direcionamento no futuro.
Substitua 23andMe por Dropbox, Outlook ou Slack e você poderá ver facilmente como um número relativamente pequeno de contas expostas pode gerar dados para uma organização inteira. O acesso a uma conta do Outlook pode gerar nomes e conexões sociais, juntamente com interações que podem ser úteis para criar ataques de engenharia social mais confiáveis.
Esta não é uma ameaça menor. Vemos cada vez mais invasores experientes procurando aplicativos com proteção mais fraca e que possuam informações de rede consideráveis para executar ataques mais amplos. De acordo com o Índice de Inteligência de Ameaças 2023 IBM X-Force 2023, 41% dos ataques bem-sucedidos usaram phishing e engenharia social como vetor principal. Por exemplo, o Incidente de token de sessão Okta procurou aproveitar a segurança mais fraca em seu sistema de suporte ao cliente e de tickets como forma de coletar informações para ataques de phishing contra clientes. Os custos destes ataques estão a aumentar e podem ser surpreendentes. A IBM estima que o custo médio da violação seja superior a US$ 4 milhões e os votos de a capitalização de mercado da Okta despencou bilhões de dólares depois de anunciar a violação.
Uma correção há muito esperada: 2FA obrigatório para logins
O hack 23andMe revela uma verdade óbvia. As combinações de nome de usuário e senha não são apenas inerentemente inseguras, mas essencialmente inseguráveis e um risco inaceitável. Mesmo presumir que apenas uma senha fornece segurança é uma tolice. Em processos de segurança e outros processos de certificação, qualquer empresa que não habilite o registro automatizado de 2FA deve ser sinalizada como arriscada para fornecer as informações de risco necessárias a parceiros, investidores, clientes e órgãos governamentais.
O 2FA deve ser obrigatório e aplicado como preço de entrada para qualquer aplicativo SaaS – sem exceções. Algumas organizações podem reclamar que tal mandato irá introduzir atrito adicional e impactar negativamente a experiência do usuário. Mas os designers de aplicativos inovadores resolveram em grande parte esses problemas construindo a partir dos primeiros princípios, sob a suposição de que seus usuários serão obrigados a usar 2FA. Além do mais, inúmeras organizações líderes como o GitHub implementaram mandatos 2FA, então não faltam exemplos de como equipes talentosas de UX estão lidando com o desafio.
Curiosamente, as mesmas alegações de atrito e inconveniência já foram a principal reclamação contra a obrigatoriedade do uso do cinto de segurança. Hoje ninguém pisca e os cintos de segurança são amplamente aceitos. Na mesma linha, os cintos de segurança e os airbags para aplicações SaaS irão, no final, poupar ao mundo muitos milhares de milhões de dólares em redução de perdas e aumento de produtividade.
E quanto às chaves de acesso? Infelizmente, é pouco provável que atinjam uma massa crítica nas empresas nos próximos anos. E as chaves de acesso são ainda mais seguras quando combinadas com MFA. O desafio, então, recairá sobre os fabricantes de SaaS para aprimorar seu jogo de usabilidade e tornar o 2FA e o MFA ainda mais fáceis de usar para todos – especialmente fatores mais seguros, como biometria, chaves de hardware e aplicativos autenticadores.
Os dados genéticos são o canário na mina de carvão de segurança SaaS. À medida que cada vez mais as nossas vidas e atividades ficam online, mais riscos se acumulam tanto para as empresas como para os consumidores. Construir maior segurança no SaaS é um bem público que beneficiará a todos. O melhor e mais óbvio passo agora é exigir o 2FA como nível básico de segurança.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :é
- :não
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Capaz
- Sobre
- aceito
- Acesso
- acessível
- Conta
- Contas
- atividades
- atores
- Adicional
- Vantagem
- Depois de
- contra
- algorítmico
- muito parecido
- Todos os Produtos
- sozinho
- juntamente
- an
- e
- Anunciando
- qualquer
- app
- Aplicação
- aplicações
- Aplicativos
- SOMOS
- AS
- suposição
- ataque
- Ataques
- Autenticação
- Automatizado
- automaticamente
- disponível
- média
- Mau
- Linha de Base
- BE
- Porque
- beneficiar
- MELHOR
- melhores práticas
- bilhões
- biométrico
- biometria
- nascimento
- corpos
- violação
- mais amplo
- Prédio
- negócios
- mas a
- by
- veio
- CAN
- capacidades
- capitalização
- carro
- casas
- catastrófico
- FDA
- desafiar
- alterar
- reivindicações
- clássico
- Carvão
- combinações
- como
- Empresa
- reclamação
- integrações
- compromisso
- Preocupações
- Coneções
- considerável
- Consumidores
- Custo
- custos
- poderia
- crítico
- cliente
- Suporte ao cliente
- Clientes
- Escuro
- dark web
- dados,
- banco de dados
- Grau
- desenhadores
- DID
- didn
- diferente
- Divulgar
- Ecrã
- dna
- dólares
- Dropbox
- mais fácil
- facilmente
- efeitos
- permitir
- final
- Forçado
- Engenharia
- garantir
- Empreendimento
- Todo
- entrada
- especialmente
- essencialmente
- estimativas
- Mesmo
- Evento
- Cada
- todos
- exemplo
- exemplos
- executar
- existente
- vasta experiência
- exponencialmente
- exposto
- Exposição
- extra
- extrato
- fatores
- falha
- família
- Funcionalidades
- poucos
- Primeiro nome
- Fixar
- marcado
- Escolha
- atrito
- da
- cheio
- futuro
- jogo
- reunir
- genético
- obtendo
- GitHub
- Go
- Bom estado, com sinais de uso
- Governo
- maior
- maior segurança
- cortar
- hackers
- hacker
- tinha
- Manipulação
- Hardware
- hash
- Ter
- Acertar
- Início
- Como funciona o dobrador de carta de canal
- HTTPS
- IBM
- ilegalmente
- imediatamente
- imutável
- Impacto
- Impacto
- importante
- in
- incluir
- incluído
- Crescimento
- aumentou
- cada vez mais
- inevitável
- INFORMAÇÕES
- inerentemente
- inovadores
- inseguro
- Inteligência
- interações
- para dentro
- introduzir
- inestimável
- invariavelmente
- Investidores
- isn
- IT
- ESTÁ
- jpg
- apenas por
- chaves
- Rótulos
- grande
- largamente
- camada
- principal
- Nível
- como
- Vidas
- locais
- longo
- olhou
- procurando
- perdas
- moldadas
- fazer
- Makers
- Mandato
- mandatos
- obrigatório
- obrigatório
- Fabricantes
- muitos
- mercado
- valor de mercado
- Massa
- fósforos
- Importância
- Posso..
- significa
- MFA
- poder
- milhão
- mínimo
- menor
- mau uso
- Mês
- mais
- a maioria
- movido
- devo
- nomes
- Natureza
- necessário
- negativamente
- rede
- efeitos de rede
- não
- agora
- número
- números
- numeroso
- óbvio
- of
- Oferece
- OKTA
- on
- uma vez
- ONE
- online
- só
- or
- organização
- organizações
- Outros
- A Nossa
- Fora
- Outlook
- Acima de
- emparelhado
- pares
- Parceiros
- Senha
- senhas
- Pessoas
- Phishing
- ataques de phishing
- peças
- platão
- Inteligência de Dados Platão
- PlatãoData
- publicado
- potencial
- potencialmente
- práticas
- preço
- primário
- princípios
- problemas
- processos
- produtividade
- Perfis
- proteger
- fornecer
- fornece
- público
- aumentar
- em vez
- RE
- Leia
- Reduzido
- relacionado
- relacionamento
- relativamente
- parentes
- permanece
- requeridos
- certo
- ascensão
- Risco
- Arriscado
- Enrolado
- s
- SaaS
- Segurança
- mesmo
- Salvar
- experiente
- cenário
- seguro
- segurança
- Vejo
- visto
- Sessão
- Partilhar
- compartilhado
- compartilhando
- escassez
- rede de apoio social
- simples
- solteiro
- folga
- pequeno
- So
- Redes Sociais
- Engenharia social
- alguns
- Patrocinado
- desconcertante
- grampo
- Passo
- Dê um basta
- armazenadas
- estruturas
- bem sucedido
- tal
- ajuda
- .
- Tire
- talentoso
- alvejando
- equipes
- ensaio
- do que
- que
- A
- O Futuro
- o mundo
- deles
- então
- Lá.
- Este
- deles
- isto
- ameaça
- três
- ticketing
- para
- hoje
- token
- árvore
- verdadeiro
- verdadeiramente
- Verdade
- para
- infelizmente
- único
- singularidade
- ao contrário
- improvável
- até
- usabilidade
- usar
- usava
- útil
- Utilizador
- Experiência do Usuário
- usuários
- ux
- valor
- Veículos
- esperar
- we
- mais fraco
- web
- BEM
- foram
- O Quê
- quando
- qual
- enquanto
- QUEM
- largamente
- precisarão
- de
- mundo
- anos
- Produção
- Vocês
- zefirnet