Sabe que, quando acorda de um pesadelo, o teu cartão de crédito foi roubado juntamente com o saldo da tua conta e da tua identidade? Para a maioria de nós, é apenas um pesadelo que desaparece do nosso banco de memória ao pequeno-almoço, mas para muitos outros é uma realidade que leva a uma chamada imediata para o fornecedor do seu cartão de crédito.
Agora imagine que você é o provedor de cartão de crédito ou o site de comércio que está aceitando seus dados e está perdendo receita significativa, lealdade do cliente e um sentimento perdido de segurança. A integridade dos scripts de páginas de pagamento executados no navegador do consumidor é importante. Faz parte da sua própria identidade, por isso, quando está comprometida, o impactos é sentido exponencialmente.
Hoje, os ataques de navegador têm como alvo a cadeia de fornecimento de software de uma forma grande, e muitos ficam nervosos por uma boa razão.
Durante um período de cinco meses na Ticketmaster em 2018, 40 000 cartões de crédito foram comprometidos, graças à obra de mão de Magecart. Ao colocar malware numa das páginas de atendimento ao cliente, foram roubadas informações pessoais e cartões de pagamento.
Mas este não é o primeiro e certamente não o último. Juntamente com a evolução da tecnologia, que, claro, inclui o aparecimento da IA no seu rosto, veio um aumento acentuado nas ameaças cibernéticas de todos os lados. De acordo com a Veracode State of Software Security, 55% dos aplicativos JavaScript tinham pelo menos uma vulnerabilidade OWASP Top 10 e quase 10% tinham falhas de alta gravidade. Com a ubiquidade das bibliotecas JavaScript do lado do cliente usadas em aplicações modernas, a necessidade de proteção do lado do cliente nunca foi tão grande.
À medida que as aplicações web dependem cada vez mais da lógica do lado do cliente e integram mais recursos de terceiros, os ataques do lado do cliente estão a aumentar. Até há alguns anos, os ataques direcionados a aplicações do lado do servidor, mais frequentemente para extrair dados de bancos de dados de back-end, comprometer servidores web e outras infra, ou servir como um ponto de entrada a partir do qual os atacantes poderiam mover-se lateralmente por uma organização, chamaram muito mais atenção.
Os ataques do lado do cliente, que incluem ataques Magecart, visam diretamente dados confidenciais do cliente, levando a violações e violações dos regulamentos de privacidade de dados. Para combater esta ameaça em evolução, o PCI DSS 4,0 introduziu novas medidas de segurança focadas no lado do cliente.
As organizações que lidam com as informações de cartões de pagamento devem seguir o novo padrão, versão (4,0), do padrão de segurança de dados da indústria de cartões de pagamento (PCI) até o final de março de 2025. O não cumprimento do PCI DSS pode resultar em multas e restrições significativas no uso da plataforma de pagamento no futuro.
Então, o que é um fornecedor de cartão de crédito ou um site de comércio eletrónico para fazer?
A Proteção do Lado do Cliente (CSP) ajuda a proteger contra a exfiltração de dados do usuário final, protege os sites de ameaças de JavaScript, bloqueia scripts defeituosos e suporta várias políticas de segurança de conteúdo. Ele também fornece insights acionáveis em uma única visualização de painel e fornece alertas para mitigar a atividade de script prejudicial.
Usando uma abordagem em camadas na borda, o novo CSP da Edgio monitora continuamente esses scripts e APIs do lado do cliente para que os dados confidenciais do cliente não sejam comprometidos em eventos como ataques XSS, clickjacking, fork jacking e ataques Magecart como o que afetou o Ticketmaster. As equipas podem facilmente gerir quais scripts estão autorizados a executar, por página, enquanto estão em conformidade com a nova versão (4,0) do PCI DSS no próximo ano.
De acordo com o Relatório de Investigações de Violação de Dados de 2023 da Verizon, estima-se que 18% das violações de retalho são atribuídas aos ataques da Magecart.
Edgio CSP torna-se ainda mais formidável com o suporte de uma aplicação Web e de uma proteção de API (WAAP), uma plataforma que protege os ativos da web de uma ampla gama de ameaças críticas – desde DDoS e injeção de código malicioso a ataques de API e Bot – tudo na ponta. Com o WAAP, você obtém defesa em profundidade contra ataques multivetoriais, tudo a partir de um único e intuitivo console, para maior observabilidade em todos os aplicativos e menos sobrecarga.
A proteção do lado do cliente dá-lhe tudo o que precisa para aplicações seguras e de alto desempenho.
O Edgio Proteja e execute pacotes de aplicativos fornece tudo o que você precisa para criar, proteger e entregar aplicativos de alto desempenho com preços previsíveis e sem custos adicionais. Além disso, os Serviços de Segurança Geridos líderes do setor estão incluídos nos pacotes de aplicações, para ajudar as equipas, oferecendo um serviço 24/7 horas por dia, 7 horas por dia, 7 horas por dia, 7 horas por dia, 7
A Edgio está empenhada em continuar a mudar com o cenário evolutivo da tecnologia, estando no topo do que os nossos clientes precisam, não importa onde nos leve… e isso inclui estar no lado direito da proteção!
