Domínios das maiores empresas portuguesas revelam fragilidades

A empresa portuguesa Ethiack analisou os principais domínios web das 500 maiores empresas em Portugal e revela que, num total de 10.880 ativos digitais expostos, a maioria das empresas tem até dez domínios web principais, cerca de 30% têm entre dez e cem e uma minoria tem mais de cem ativos expostos. Segundo o estudo, 54% destes ativos está alojado em serviços prestados por empresas em Portugal.

O estudo da Ethiack mostra, ainda, que mais de 20% dos servidores web associados às 500 maiores empresas expõem informações sobre a sua versão e software, a qual pode facilitar a exploração de vulnerabilidades associadas aos mesmos.

Na análise aos protocolos HTTPS, verificou-se que mais de 10% dos certificados SSL estavam inválidos, ou seja, desatualizados e, por isso, inseguros. Tal situação permitiria a um atacante intercetar tráfego estando ligado à mesma rede pública, por exemplo, que um utilizador autorizado, o que possibilitaria ataques como eavesdropping e man-in-the-middle – ou seja, um atacante poderia recolher informações e usá-las para pedir um resgaste ou até mesmo comprometer os seus sistemas.

Para André Baptista, fundador e CTO da Ethiack, “os resultados deste estudo aos ativos digitais expostos das 500 maiores empresas portuguesas mostram que apesar dos esforços realizados ao longo dos últimos anos para melhorar a postura de cibersegurança, ainda há muito espaço para melhoria. Na perspetiva da Ethiack, a recomendação vai no sentido de as empresas adotarem mecanismos de mapeamento da infraestrutura digital exposta e de uma análise de vulnerabilidades contínua, como a forma mais viável do ponto de vista económico e da alocação de recursos para prevenir ciberataques”.

E acrescenta que “é possível concluir que existe um maior risco de exposição a ciberataques e que é prudente considerar a implementação de medidas preventivas, bem como de políticas e certificação de cibersegurança como, por exemplo a certificação ISO 27001 e uma Política de Divulgação de Vulnerabilidades (VDP)”.

Por fim, menos de 1% das empresas mostrou ter uma política de divulgação de vulnerabilidades (VDP), uma vez que foi possível identificar ficheiros security.txt. A norma security.txt costuma ser vista como uma boa prática, pois fornece aos hackers éticos instruções sobre como proceder caso encontrem uma vulnerabilidade.

André Baptista refere que “a falta deste ficheiro sugere pouca sensibilidade em relação à cibersegurança ofensiva, porque não estão a providenciar um canal direto para comunicar prontamente as vulnerabilidades, dificultando o trabalho dos hackers éticos”.

É importante salientar que, em média, as empresas desconhecem cerca de um terço dos ativos digitais que têm expostos. André Baptista explica que “são, muitas vezes, ativos digitais esquecidos pelas empresas ou adormecidos, porque o projeto para o qual foram criados já foi descontinuado, mas as máquinas continuam lá, ligadas à rede, e, portanto, desprotegidas e vulneráveis a ataques cibernéticos”.

O estudo foi realizado na última semana de dezembro de 2023 e consistiu na análise sumária e preliminar da exposição digital das empresas que compõem o ranking das 500 maiores empresas em Portugal da LISTAGEM.PT e identifica, do ponto de vista de um potencial atacante, a superfície de ataque exposta ao cibercrime. Para esta análise foi utilizada uma ferramenta proprietária da Ethiack que realiza um reconhecimento passivo, não intrusivo, da superfície de ataque de uma organização, isto é, a infraestrutura digital exposta ao exterior e que pode ser alvo de um ciberataque por parte de um cibercriminoso.