Por Emma Zaballos
Muita coisa entra na decisão de compra durante a temporada de compras — prazos de entrega, preços promocionais e encontrar o presente perfeito para sua sobrinha (que é impossível de agradar) provavelmente estão no topo da sua lista. Infelizmente, os atacantes contam com isso.
O melhor amigo de um invasor é a urgência, e a Black Friday inaugura a temporada perfeita para eles. Não apenas os varejistas estão focados em atender à alta demanda e evitar quedas em seus sites, como os compradores estão apressados, estressados e prontos para agir rápido para garantir uma boa oferta. Por isso, tanto varejistas quanto consumidores acabam criando um cenário ideal para a implantação de ransomware, golpes de compra e roubo de dados pessoais valiosos (PII).
A contagem regressiva começou
Sites do mundo todo marcam a Black Friday e a Cyber Monday como o início da temporada de promoções. Por isso, decidimos investigar ativos de e-commerce no Reino Unido e na Europa — além de tendências globais — para entender onde os ativos externos podem estar vulneráveis nesta temporada de compras.
Analisamos um conjunto anonimizado de ativos de e-commerce coletados entre novembro de 2023 e outubro de 2024. Esses ativos são aplicativos ou interfaces web. Para identificá-los como parte de um sistema de e-commerce, usamos machine learning e processamento de linguagem natural para encontrar indícios como funções de pagamento, carrinho de compras ou palavras-chave como “checkout”.
Além de muito acessados durante a Cyber Monday, esses ativos representam um verdadeiro tesouro de dados. A maioria (53%) dos ativos de e-commerce coleta PII. Embora esse número tenha caído ligeiramente em relação aos 58% do ano anterior, ainda representa um alvo tentador para atacantes que buscam roubar dados pessoais, informações de pagamento ou prejudicar a reputação da marca. Armazenar PII torna o ativo muito mais atraente e, combinado com outras vulnerabilidades, pode gerar enormes riscos para a organização.
Alguns sites de e-commerce ainda estão na lista dos malcomportados
Na edição 2024 do CyCognito State of External Exposure Management Report, analisamos a adoção de HTTPS e firewalls de aplicações web (WAFs) como indicadores de “cuidados básicos” com interfaces e aplicações web. Embora não sejam as defesas mais avançadas, sua ausência pode sinalizar negligência — ou que o ativo foi completamente esquecido.
O HTTPS acaba de completar 30 anos, mas encontramos uma piora na sua adoção em sites de e-commerce. Embora a grande maioria já utilize HTTPS, 3% dos aplicativos web ainda não contam com essa proteção — um aumento em relação aos 2% do ano anterior. Na Europa, o cenário é ainda pior: quase 5% dos ativos não possuem HTTPS.
No caso dos WAFs, o quadro também piorou. No ano passado, mais de um quarto (28%) dos apps de e-commerce não contavam com WAF. Em 2024, mais de 40% desses ativos continuam sem essa proteção, tanto no Reino Unido quanto na Europa.
A ausência de WAF é ainda mais crítica quando o ativo coleta PII. O número de aplicativos que coletam PII e não têm WAF passou de 24% em 2023 para 35% este ano. No Reino Unido, o número sobe para 43%, e na Europa chega a 40%.
Por outro lado, houve avanço na validade de certificados digitais: apenas 6% dos ativos têm problemas, comparado a 13% no ano anterior. Porém, no Reino Unido, esse número aumentou — 14% dos sites enfrentam problemas de validade de certificado. Na Europa, 11% dos ativos têm esse tipo de falha. A falta de certificados compromete a confiança do cliente, que pode abandonar o site ao notar sinais de insegurança.
A exigência de consentimento para cookies é um requisito regulatório básico, especialmente para sites com clientes na Europa. Apesar de anos de vigência do GDPR, descobrimos que 79% dos ativos de e-commerce ainda não pedem consentimento ao usuário — um aumento de 1% desde 2023. No Reino Unido, 67% falham nesse requisito; na Europa, 76%.
Mas há motivos para agradecer
Ao fim da temporada de festas, muitos fazem promessas de fim de ano — comer melhor, iniciar um hobby ou até correr uma maratona. Felizmente, as promessas da segurança digital surtiram efeito. Menos de 1% dos ativos de e-commerce apresentam falhas críticas de segurança — uma redução de 50% em relação ao ano anterior. Apenas 17% desses ativos armazenam PII, um avanço considerável em relação aos 50% de 2023.
As equipes de segurança também estão focadas nas ameaças certas. O número de falhas críticas facilmente exploráveis caiu de 76% para 67%, e o total de vulnerabilidades exploráveis em geral caiu de 31% para 19%. O esforço também reduziu pela metade os ativos afetados por falhas incluídas no Top 10 da OWASP — de 7% para 4%.
Ainda assim, 38% dos ativos de e-commerce têm uma ou mais vulnerabilidades criptográficas. Isso representa uma melhora de 10% (eram 48% no ano anterior), mas ainda há preocupações: no Reino Unido, mais de 40% dos ativos enfrentam esse tipo de falha. Na Europa, a situação é mais grave: 50% dos ativos apresentam pelo menos uma vulnerabilidade criptográfica.
Segurança cibernética vai além do feriado
Não importa quando as promoções comecem — os varejistas precisam garantir que seus sites estejam protegendo PII e informações financeiras durante todo o ano. Verificar questões básicas como HTTPS e WAF pode revelar problemas mais profundos. Descobrir e corrigir falhas no último minuto não é o ideal — a abordagem mais eficaz é fazer varreduras contínuas e testes discretos ao longo do ano.
Fazer uma lista e conferi-la duas vezes pode funcionar para o Papai Noel, mas não é suficiente para sites de e-commerce. Para se manter à frente dos atacantes, priorize avaliações contínuas e abrangentes da sua superfície de ataque externa. Você não quer que o cliente receba carvão quando esperava um suéter novo.
Na CyCognito, entendemos que você quer focar nas partes alegres da temporada. É por isso que passamos o ano inteiro identificando, testando e priorizando ativos expostos externamente — para que sua equipe tenha tempo de corrigir problemas antes que os atacantes os explorem.
Quer saber mais?Para falar com um especialista sobre riscos externos que podem afetar sua organização, agende uma demonstração: contato@cybergate.solutions e entenda como a CyCognito pode ajudar na sua jornada de segurança cibernética.
