Você já ouviu falar no Heartbleed bug? Infelizmente, esse não é um termo muito conhecido, o que torna a falha um risco iminente para e-commerces no mundo inteiro.
Neste artigo, vamos apresentar o conceito dessa brecha de segurança e mostrar o risco que as empresas podem estar correndo. Além disso, listaremos 5 passos simples para resolver o problema. Confira!
O que é o Heartbleed bug?
Para entender o risco dessa ameaça para o e-commerce, é preciso saber um pouco sobre como uma comunicação segura funciona na internet e como ela é explorada por criminosos para obter informações sigilosas dentro do sistema da empresa.
No centro desse problema está o SSL, um protocolo de conexão segura com a internet, utilizado na grande maioria dos serviços online — principalmente em áreas logadas, como a conta de um cliente em uma loja virtual. Se o endereço da página começa com “https://”, é bem provável que a comunicação entre computador e servidor esteja sendo feita com base nesse protocolo.
Na hora de navegar por um site, nem sempre estamos ativamente transferindo dados. Por exemplo, o cliente pode ter logado para visualizar seu carrinho, mas em vez disso analisa informações sobre o produto que quer comprar e passa um bom tempo pesquisando cada detalhe.
Para que os dois lados da conexão saibam que o cliente ainda está em sua área privada, o navegador envia um heartbeat, ou uma batida de coração, para dar sinal de vida ao servidor. É um arquivo de tamanho específico que se aloca na memória física do sistema do e-commerce e se transfere de volta para confirmar que a conexão ainda é válida.
No entanto, criminosos virtuais descobriram uma brecha nesse processo: em algumas versões do protocolo SSL, o servidor da empresa que recebe o heartbeat pode não checar o tamanho do arquivo enviado, mas sempre o devolve no tamanho pré-definido. Ou seja, se esse pacote for menor do que o combinado, o sistema da loja virtual completa o restante com informações alocadas dentro do seu armazenamento físico.
O que volta para criminosos é uma loteria. Podem ser dados irrelevantes ou incompreensíveis. Em alguns casos, porém, o que escapa dos servidores pode ser um desastre para a empresa.
Como essa ameaça coloca o e-commerce em risco?
As lojas virtuais são as mais visadas nesse tipo de ataque, afinal, muitas informações salvas no servidor do e-commerce são confidenciais e muito valiosas para pessoas mal-intencionadas.
São dados bancários, números de cartão de crédito, informações pessoais e documentos que podem ser vendidos no mercado negro ou utilizados para abrir contas falsas e realizar compras fraudulentas.
Quando um cliente se cadastra na sua loja e fornece esse tipo de dado, ele está acreditando na sua capacidade de manter e proteger sua privacidade. A partir do momento que essa confiança é quebrada, a marca do e-commerce pode ficar manchada por muito tempo.
Só a imagem negativa de um vazamento de informações de clientes já seria o suficiente para acabar com um negócio que não tem milhões para gastar com estratégias de controle de danos e publicidade que reverta a situação. Mas, como se não fosse o bastante, os custos de indenizações e processos movidos por consumidores afetados seria mais um golpe difícil de ser assimilado.
No entanto, hoje a correção do Heartbleed bug é simples, rápida e praticamente sem custos. Esse é um sinal de como a preocupação de gerentes de e-commerce com a segurança da informação é uma prioridade na hora de gerir seu negócio.
Como proteger minha loja do Heartbleed bug?
Se você não quer que sua loja seja vítima de vazamento de dados por uma simples brecha de protocolo, basta seguir os 5 passos abaixo.
Identifique se sua loja usa o OpenSSL afetado
O OpenSSL é a implementação da conexão segura SSL mais popular no mundo — provavelmente é a biblioteca que a sua loja virtual utiliza. Não são todas as versões que estão vulneráveis ao Heartbleed bug, portanto, sua primeira etapa é se certificar se o problema existe.
Apenas as versões 1.0.1 até 1.0.1f são suscetíveis à falha. Se o seu site utiliza qualquer número abaixo de 1.0.1 ou a partir de 1.0.1g, o problema está resolvido. Existe uma forma ainda mais simples de realizar essa checagem: é só acessar esta ferramenta online, criada exclusivamente para isso, e colocar o endereço da sua loja virtual.
Mude os certificados SSL usados nos servidores
Após trocar a versão do OpenSSL, é importante que seja feita uma revisão em todos os certificados de segurança do servidor. Isso impedirá o acesso de criminosos que já tenham se aproveitado da brecha de alguma forma.
Solicite que usuários mudem suas senhas
Se houver qualquer suspeita de vulnerabilidade, não hesite em pedir para que os usuários alterem suas senhas. Feito da maneira certa, o pedido se transforma em uma imagem positiva para a loja virtual, mostrando que ela se preocupa com a segurança das informações sigilosas de seu público.
Mesmo que a ação gere desconforto ou desconfiança em alguns clientes, o seu foco deve ser sempre em criar uma loja virtual mais segura. A prevenção é muito mais barata e efetiva do que a remediação após um desastre.
Invista em segurança da informação
É muito difícil para um gerente de e-commerce lidar com o tema, quando ainda tem todo um negócio para gerir. Então, se for possível, contrate profissionais que vão trabalhar diariamente na proteção dos dados dentro da empresa.
A terceirização na TI também é uma saída interessante para adquirir dedicação e capacitação tecnológica sem precisar investir muito.
Implemente um gateway de pagamento seguro
Também é essencial apostar em um gateway de pagamento seguro, já que a parte mais crítica da segurança de informação em uma loja virtual está na transação que utiliza dados pessoais e bancários.
Ao contratar um serviço robusto, com integração simplificada e equipe especializada em proteção de dados, esse peso sai dos ombros do gerente, que pode se preocupar com situações mais estratégicas de crescimento, atração e consolidação no mercado.
Tenha foco para entender as ameaças à sua loja e saber onde procurar ajuda para resolver problemas como o Heartbleed bug. Assim, confiança e segurança serão marcas poderosas da sua empresa.
E que tal compartilhar este artigo nas suas redes sociais? Marque seus companheiros de negócio e comecem a discutir formas de tornar a navegação e o pagamento mais seguros no seu site. É com informação e discussão que um e-commerce consegue evoluir.