Identificadas mais de 17 mil vulnerabilidades após teste a milhares de ativos digitais

Com as organizações mais alerta para questões de cibersegurança, são muitas as empresas que continuam a estar expostas a ciberataques.

A Ethiack realizou, entre setembro de 2022 e março de 2023, a segurança a cerca de 7.500 ativos digitais expostos na internet.

O resultado culminou na identificação de mais de 17 mil vulnerabilidades de 400 tipos diferentes. Ao nível do impacto, mais de 60% foram considerados impactantes e 12% com “impacto crítico”.

Entre as vulnerabilidades mais detetadas destaque para o remote code execution, uma vulnerabilidade que permite que um atacante tome conta de um ativo digital; a Cross-site scripting, uma vulnerabilidade que permite a 'injeção' de scripts em websites; e o SQL injection, uma vulnerabilidade que permite alterar bases de dados. Foram ainda encontradas falhas na programação que permitem ao hacker tomar conta da aplicação e mudar as regras ou privilégios.

“Os resultados obtidos com esta análise mostram que continua a ser relativamente fácil aceder aos sistemas de informação das empresas e que a deteção de ataques informáticos se encontra longe de ser rápida e eficaz. Isto, porque grande parte destas vulnerabilidades estão em ativos esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foi criado já foi descontinuado, mas a máquina continua lá”, explica André Baptista, cofundador da Ethiack.

Após uma consulta a parceiros, a organização concluiu que a maioria considera necessário regular e criar um enquadramento legal para o hacking ético, composto por serviços prestados por especialistas em cibersegurança que detetam falhas nos sistemas, plataformas, websites e aplicações após realizarem testes controlados aos sistemas e servidores.