Site da Danone é alvo de invasão

[ad#texto]
Aconteceu de novo, um site de uma grande empresa banaliza a segurança, entende que aporte financeiro em segurança é despesa e não investimento e dá nisso.

Esse final de semana o site da Danone foi invadido.

A invasão na verdade foi mais uma brincadeira, pois em um determinada receita dentre as muitas que o site possui como uma espécie de dica teve uma imagem inserida no lugar dos ingredientes.

Aparente o único dano causado em todo o site foi o defacer exibido na imagem acima. Nenhuma informação acerca de clientes ou outros danos foram relatados pela Danone ou percebidos pelos usuários.

Como a Danone não se pronunciou muito sobre essa invasão e consequentemente não informou qual falha de segurança foi utilizada como porta de entrada e levando em conta o tipo de defacer realizado creio que foi uma falha no sistema que dá origem ao site.

Alguma pessoa com certo conhecimento técnico pode ter utilizado algum formulário do próprio site e que não tinha o devido controle e filtragem dos dados digitados para inserir algum tipo de script (pode ser JavaScript ou SQL, por exemplo) para alterar a forma como esta página em especial é carregada no browser do usuário e assim conseguir a invasão.

Como desenvolver sites e sistemas seguros para que não ocorram esse tipo de falha de segurança? É mais fácil do que você imagina.

Eu sempre falo aqui de que esse tipo de risco na segurança de um site ou sistema web é fácil de evitar, basta ter um pouco de disciplina e direcionar o seu projeto para a segurança. Mas se você não faz a lição de casa fica difícil operar na Internet de maneira segura.