Riesgos de JavaScript del lado del cliente y CCPA



Cómo la nueva ley de privacidad de California aumenta la responsabilidad de proteger los datos de los usuarios que se dirigen a la Net y qué pueden hacer las empresas para mitigar su riesgo.

El 1 de enero de 2020, entró en vigencia la nueva ley de privacidad de California, que aumentará drásticamente los riesgos de seguridad para cualquier empresa que opere allí y para terceros que puedan tener acceso a sus datos. Este es un problema porque uno de los tipos de ataques cibernéticos de más rápido crecimiento, los ataques JavaScript del lado del cliente, a menudo apunta a servicios de terceros. Los ataques de Magecart, por ejemplo, con frecuencia se centran en complementos comprometedores para las principales plataformas de comercio electrónico como Magento y Shopify u otras plataformas de publicación populares como WordPress para descuidar subrepticiamente los datos de los clientes.

La Ley de Privacidad del Consumidor de California (CCPA), que dicta cómo las empresas y organizaciones necesitan proteger los datos de los usuarios, podría generar fuertes multas contra los sitios que no protegen contra estos ataques. El acto también puede ser una fuerza positiva para impulsar mejoras importantes en el enfoque de seguridad de su aplicación net.

Por qué los problemas del sitio world-wide-web son un riesgo CCPA
Si bien la CCPA es la legislación estatal más estricta sobre privacidad del consumidor en los Estados Unidos, la ley también tiene alcance world-wide. Una compañía francesa o china que tiene clientes, socios, proveedores de servicios u oficinas en California podría ser multada si se viola su sitio internet y los residentes de California se ven afectados.

Sin embargo, la exposición es más amplia que las violaciones de datos. CCPA extiende la responsabilidad por compromisos de datos de usuarios a servicios de terceros que utilizan los editores y operadores de aplicaciones internet. Esto puede incluir procesadores de pago, operadores de chatbot y cualquier otro proveedor de servicios de terceros que se integren con aplicaciones net. Esto podría significar una gran exposición financiera si California, que tiene un historial de aplicación agresiva, persigue multas.

En la Unión Europea, las recientes interpretaciones del Reglamento Common de Protección de Datos (GDPR) de 2016 descubrieron que los ataques de JavaScript por parte de terceros maliciosos para robar datos confidenciales de los usuarios que no son detectados y detenidos de inmediato constituyen violaciones del GDPR. En estos casos, las bases de datos y los sistemas internos nunca se violaron el código del sitio fue modificado, pero no por el propietario del sitio. La adopción de esta vista por parte de California establece una barra alta para los operadores de sitios world-wide-web.

CCPA también establece una disposición bajo la cual las personas cuyos datos son robados pueden demandar a las empresas «como resultado de la violación de la empresa de la obligación de implementar y mantener procedimientos y prácticas de seguridad razonables adecuados a la naturaleza de la información». Este es un mandato amplio para litigar en caso de cualquier tipo de incidente de seguridad.

¿El resultado? Los CISO, los CMO, los ingenieros de confiabilidad del sitio y los CRO de las empresas con una exposición incluso pequeña a California deberían preocuparse por las responsabilidades conferidas por CCPA en las aplicaciones website y el código del sitio.

Riesgos CCPA de código JavaScript de terceros
Casi todas las aplicaciones website (incluidas la net, la world wide web móvil y las aplicaciones móviles híbridas) usan JavaScript. Cada vez más, estas aplicaciones también usan bibliotecas y servicios de JavaScript de terceros que se agregan a su aplicación world wide web. Estas inclusiones de JavaScript de terceros mejoran la funcionalidad del sitio de muchas maneras. También aceleran la velocidad a la que se pueden construir aplicaciones net y permiten un mejor rendimiento de las aplicaciones world-wide-web al descargar tareas intensivas en cómputo a terceros.

Desafortunadamente, se ha vuelto difícil para las empresas realizar un seguimiento de todos los JavaScript de terceros en sus aplicaciones world wide web. En una encuesta De 230 empresas con un promedio de 1,000 empleados realizadas por PerimeterX, el 55% de los encuestados dijo que más del 50% del código de su sitio es de terceros. Aproximadamente una quinta parte dijo que más del 70% de su código de sitio period de terceros, y un sorprendente 8,3% dijo que no tenía concept de cuánto de su código de sitio period código de terceros.

Tener problemas para rastrear qué servicios de terceros y compañías de códigos usan complica la auditoría de las responsabilidades de CCPA. Peor aún, cuando las bibliotecas y servicios de terceros son pirateados o sufren violaciones de seguridad, los propietarios de estos elementos de terceros pueden no notificar a todos los propietarios de sitios web que usan estas bibliotecas y servicios de inmediato. La encuesta de PerimeterX encontró que el 42% de los encuestados no tienen forma de saber cuándo y si el código de su sitio estaba cambiando sin su autorización adecuada.

Cómo reducir los riesgos de terceros
Algunos pasos básicos pueden reducir significativamente su riesgo o, como mínimo, mostrar que realizó una diligencia debida sólida sobre los riesgos que terceros confieren a su organización (y, por extensión, a sus clientes). Primero, identifique todas las instancias de código de terceros que se ejecutan en su sitio. Si este código es de bibliotecas de código abierto de terceros, debe tratarlo como si fuera su propio código y analizarlo en busca de riesgos de seguridad. Esto incluye análisis de código estático.

Para JavaScript de proveedores de servicios, haga las siguientes preguntas para evaluar su propio riesgo CCPA:

  • ¿Capturas nuestros datos de usuario de alguna manera? En caso afirmativo, explique detalladamente cómo capturar estos datos.
  • Si captura nuestros datos, ¿quién tiene acceso a esos datos (partes adicionales) y cómo se protege?
  • ¿Cómo está verificando su código para cambios no autorizados? (Deberían poder darle una lista de pasos como el análisis de código estático y el escaneo de aplicaciones en vivo).
  • ¿Tiene cumplimiento complete (no parcial) de SOC 2 o ISO 27001?

Sin embargo, la mejor ofensa contra CCPA es una buena defensa. Para ello, verifique que todas sus aplicaciones públicas y API estén correctamente bloqueadas. Todas las aplicaciones públicas deben estar protegidas por firewalls y otras medidas de seguridad con configuraciones actualizadas.

Para detectar cualquier ataque de JavaScript temprano y evitar un riesgo de CCPA, implemente una plataforma moderna de detección de anomalías basada en inteligencia artificial en los datos en tiempo real recopilados en tiempo de ejecución de los visitantes del sitio, que localiza el comportamiento de código extraño que indica que se están cosechando datos del usuario. (Nota del editor: PerimeterX es uno de varios proveedores que ofrecen soluciones de detección de este tipo). Estas soluciones también pueden brindarle una vista actualizada en tiempo serious de los scripts en su sitio que realmente están accediendo y recolectando datos personales, lo que podría proporcionar una cobertura aérea de cumplimiento, también.

Incluso si el script es en realidad una biblioteca o servicio legítimo y sin compromisos, las reglas de cumplimiento en torno a la recopilación de datos y la capacidad de proporcionar cualquier información sobre cómo se utilizan los datos obligan a los operadores del sitio a poder identificar a todos los terceros que tienen acceso a los datos, en de cualquier forma o forma.

Contenido relacionado:

Ido Safruti es cofundador y director de tecnología de PerimeterX, proveedor de soluciones de seguridad de aplicaciones que mantienen a las empresas seguras en el mundo electronic, detectando riesgos para las aplicaciones world-wide-web y móviles y administrándolas de forma proactiva. Anteriormente, Ido dirigió un grupo de productos en Akamai centrado … Ver biografía completa

Más tips





Enlace a la noticia authentic