+55 43 4141-3009
comercial@brascommerce.com.br

Segurança no Magento – Patches de Segurança

out

22

outubro 22 , 2015 | Posted by Alex Andrade | No Comments

Segurança no Magento – Patches de Segurança

Segurança no Magento

As lojas de comércio eletrônico que rodam sob a plataforma Magento eCommerce ao redor do mundo estão sendo alvo de inúmeros ataques nos últimos meses, com objetivos de comprometer a segurança e roubar dados sensíveis, como e-mails, dados pessoais e dados de cartão de crédito. O objetivo é um só, aplicar golpes com estas informações, seja enviando e-mails fraudulentos aos clientes destas lojas, seja usando os dados de cartão de crédito obtidos durante ataques, para aplicar golpes. E isto pode trazer muitos prejuízos que vão muito além de uma dor de cabeça, podendo facilmente chegar na esfera civil e criminal.

A equipe de desenvolvimento da plataforma Magento vem lutando contra isto, liberando patches de segurança, que nada mais, nada menos, são arquivos que corrigem e fecham estas falhas de segurança. Entretanto estas correções podem variar de uma loja para outra, sendo necessário levar alguns itens em consideração, como a versão e edição do Magento, configurações do servidor, além é claro, de temas e extensões de terceiros instaladas em sua loja.

E apesar destas correções estarem sendo fornecidas gratuitamente, elas não são instaladas em sua loja por padrão, dependendo dos lojistas e/ou sua equipe técnica, para serem implementados, e claro, sendo necessário ainda, verificar se todas as falhas foram efetivamente corrigidas, o que em muitos casos, exigem uma equipe técnica qualificada e atuante para garantir isto.

Adicionalmente é importante frisar que sempre haverá uma falha não descoberta, e consequentemente, quando descoberta, deve ser corrigida o quanto antes. É um trabalho árduo e continuo, que deve ser realizado a qualquer custo, pois ao contrário de alguma nova funcionalidade, extensão ou tema que você pense em implementar em sua loja, e que eventualmente se tem tempo para implementar, falhas de segurança são um risco direto e que não podem esperar.

Fazendo uma analogia, estas falhas de segurança muitas vezes podem equivaler ao alicerce principal de um prédio, e que se explorada, com certeza poderá levar a ruina do mesmo. E acredite, não estamos tendo uma visão apocalíptica do que pode acontecer com sua loja, muito menos sendo exagerados, estamos sendo realistas.

Nossa visão se baseia nas falhas atuais, bem como na possibilidade de exploração de dados que uma loja de comercio eletrônico possui. As pessoas e/ou grupos que exploram estas falhas estão atrás principalmente de dados que a possibilitem de ter algum lucro ou vantagem. Dentro de um comercio eletrônico, normalmente coletamos dados como nome, e-mail, endereços de cobrança e entrega, telefones de contato e algum documento de identificação, normalmente o CPF, para poder emitir as NFe, além é claro, dos dados de pagamento, como cartão de crédito e dados bancários, no caso de debito online. E é nesta coleta que pode morar o perigo, já que as falhas de segurança que está sendo exploradas visam a coleta destas informações, que muitas vezes são revendidas no submundo da internet e usadas em golpes, que vão desde a ligação relatando falsos sequestros e pedindo dinheiro, até o uso indevido dos dados de cartão de crédito em compras em outros estabelecimentos.

Apesar de haver inúmeras leis que visam coibir tal fato, é certo que, quando identificado que a origem dos dados partiu de determinada loja, é comum nosso judiciário aplicar multas sobre o lojista, além de conceder, em muitos casos, indenizações referente a danos financeiros e morais, mesmo que o lojista tenha tomado todos os cuidados. O pior é quando o lojista não toma as devidas providencias, e com isto, assume o risco, mesmo que indiretamente, que os dados de seus clientes possam cair em mãos erradas. Nestes casos, as indenizações por parte do lojista aos clientes prejudicados podem subir substancialmente, podendo afetar de maneira definitiva a saúde financeira da loja, e consequentemente, declarando sua falência.

E mesmo que sua loja consiga sair quase ilesa de um caso de vazamento de dados pessoais, o marketing negativo de clientes furiosos, seja nas Redes Sociais, seja em sites de reclamações, como o ReclameAqui, com certeza irá fazer você tem um custo extra com marketing, para poder contornar a situação. Ah, e não podemos esquecer que ainda temos que fechar a falha de segurança, caso contrário, mais custos inesperados poderão aparecer.

Agora pare e pense. Será que o custo com um suporte continuo, ou até mesmo a aplicação destes patch de segurança é tão alto quanto um desgaste que você possa ter, caso sua loja tenha a infelicidade de sofrer um ataque destes? Pense na pior das hipóteses, ter dados vazados e descobrirem que veio de sua loja. Imagine os custos com advogados, despesas processuais, indenizações, marketing, equipe de TI para arrumar o problema, e em alguns casos, até mesmo com a paralisação da loja, seja para poder arrumar a falha, seja por decisão judicial. Em minha humilde visão, os custos, seja com o suporte, seja com a correções destas falhas, é muito menor do que a dor de cabeça que você terá, caso sua loja tenha dados de clientes vazados.