A privacidade de dados requer proteção contra Credential Stuffing

Em 27 de junho de 2022, a Global Privacy Assembly (GPA) , uma associação de mais de 130 reguladores e responsáveis pela proteção de dados e privacidade, publicou as primeiras diretrizes intergovernamentais sobre preenchimento de credenciais , afirmando que o preenchimento de credenciais representa um risco para dados pessoais em escala global e que as leis de proteção de dados exigem que as organizações se protejam contra isso.

A F5 tem orgulho de ter participado da produção das diretrizes e agradece o reconhecimento do GPA. A F5 há muito tempo reconhece a ameaça do credential stuffing. Foi Sumit Agarwal, da F5, que cunhou o termo credential stuffing quando atuava como Subsecretário Adjunto de Defesa no Pentágono, uma ideia que levou à fundação da Shape Security (agora parte da F5) em 2011 como o principal fornecedor de gerenciamento de bots. Hoje, a F5 continua protegendo os maiores bancos, varejistas de comércio eletrônico, companhias aéreas, provedores de hospitalidade e empresas de mídia social do mundo contra o preenchimento de credenciais e ameaças associadas.

As novas diretrizes, publicadas pelo International Enforcement Cooperation Working Group (IEWG), um grupo de trabalho permanente do GPA, documentam como o credential stuffing é realizado, explicam a economia do invasor que impulsiona sua prevalência, destacam por que ele é uma preocupação global e precisa ser incorporado à lei de privacidade de dados e descrevem vários métodos para mitigar o credential stuffing.

As diretrizes do GPA se baseiam em vários avisos recentes de agências governamentais. Em 5 de janeiro de 2022, o Gabinete do Procurador-Geral do Estado de Nova York emitiu um Guia Empresarial sobre o aumento desenfreado do credential stuffing e a necessidade de as empresas tomarem medidas preventivas. Em 15 de setembro de 2020, a Securities and Exchange Commission emitiu um Alerta de Risco sobre o aumento drástico de credenciais falsas contra consultores de investimento, corretores e negociadores registrados na SEC. Em 10 de setembro de 2020, o Federal Bureau of Investigations dos Estados Unidos emitiu uma Notificação à Indústria Privada alertando sobre uma onda de ataques de preenchimento de credenciais contra instituições financeiras dos EUA, afetando mais de 50.000 contas e custando às empresas uma média de US$ 6 milhões por ano somente em custos de notificação e remediação. Esses incidentes continuam a impactar os diretores de privacidade, como evidenciado pelo recente artigo do CPO documentando um ataque massivo à equipe de credenciais da General Motors.

Credential stuffing é um crime cibernético em que criminosos testam credenciais roubadas em sites para assumir o controle de contas. Os criminosos realizam esses ataques em grande escala usando ferramentas automatizadas chamadas bots. É um crime cibernético extremamente eficaz com alto ROI porque: 1) credenciais roubadas são facilmente encontradas, 2) cerca de 60% das pessoas reutilizam senhas em várias contas ( de acordo com o FBI ) e 3) muitas organizações dependem de métodos de mitigação ineficazes, como CAPTCHA e listas de negação de IP.

O número de credenciais roubadas é impressionante. Somente em 2020, 1,86 bilhão de credenciais foram roubadas, de acordo com o Relatório de Enchimento de Credenciais de 2021 da F5 Labs . As diretrizes do GPA apontam que grandes violações, como a violação do Yahoo em 2013, expuseram bilhões de credenciais. Os invasores podem explorar essas credenciais roubadas por anos antes que as violações sejam relatadas publicamente.

As diretrizes do GPA também apontam que as vítimas dessas violações de privacidade podem sofrer danos além da perda monetária, incluindo danos à reputação causados por desinformação ou pela realização de declarações falsas sobre um indivíduo ao usar sua conta comprometida. É fácil imaginar como essas violações de privacidade podem arruinar vidas.

Mais significativamente, as diretrizes concluem que as organizações devem considerar proteções contra o preenchimento de credenciais como uma das medidas de segurança “apropriadas” exigidas pelas leis de privacidade de dados, citando disposições específicas no GDPR da UE e na Regra de Salvaguardas da Comissão Federal de Comércio dos Estados Unidos.

As diretrizes do GPA recomendam que as organizações considerem vários métodos de mitigação para se protegerem contra o preenchimento de credenciais:

• Check-out de convidado, que elimina qualquer uso de credenciais
• Políticas de senhas fortes para minimizar o risco de reutilização
• Alternativas para senhas como Single Sign-On (SSO)
• Autenticação multifator (MFA)
• Senhas secundárias e PINs
• Impressão digital do dispositivo
• Nomes de usuários imprevisíveis
• Identificando senhas vazadas
• Limitação de taxa
• Página de login e processos (login em várias etapas)
• Monitoramento/detecção de conta
• Verificações adicionais para redes de anonimato (como TOR)
• CAPTCHAs
• WAFs
• Lista de bloqueio e permissão de IP
• Planos de resposta a incidentes e notificações ao usuário

Essas são certamente técnicas válidas que contribuíram para mitigar ataques de credential stuffing. Ao avaliar quais abordagens seriam mais adequadas para sua organização, a F5, que inovou nesse espaço por muitos anos, recomenda que você considere técnicas que efetivamente mitiguem bots em tempo real, sem adicionar atrito à experiência do usuário e sem exigir um redesenho do aplicativo.

Embora senhas e PINs secundários, nomes de usuário imprevisíveis e páginas de login em várias etapas adicionem proteção, eles fazem isso ao custo de aumentar o atrito do usuário. As empresas que desejam melhorar as conversões de clientes e reduzir o abandono de carrinho de compras devem evitar colocar obstáculos entre o cliente e a compra. O check-out de visitantes também pode ajudar, mas impede que as organizações forneçam uma experiência personalizada e direcionada. O MFA, embora eficaz, também acrescenta atrito à experiência do usuário e tem sido fortemente visado por criminosos.

O CAPTCHA também acrescenta atrito e fornece uma defesa menos eficaz do que muitas pessoas imaginam. Serviços de resolução de CAPTCHA, usando aprendizado de máquina e fazendas de cliques, tornam barato para bots contornar o CAPTCHA. (Leia sobre as aventuras de Dan Woods em Tales of a Human CAPTCHA Solver .)

Organizações que trabalharam com a F5 descobriram que listas de bloqueio de IP e regras WAF estáticas são muito difíceis de manter. Os serviços de proxy permitem que os bots utilizem milhões de endereços IP residenciais válidos. Enquanto isso, os bots se reestruturam em questão de horas sempre que são bloqueados. Essas abordagens forçam as equipes de segurança a um jogo perdedor de acertar a toupeira.

Da mesma forma, o monitoramento/detecção de contas, os planos de resposta a incidentes e as notificações ao usuário são importantes e precisam fazer parte de um programa de gerenciamento de bots, mas essas proteções são aplicadas após o fato. Felizmente, existem técnicas disponíveis para impedir que criminosos assumam o controle de contas.

A F5 trabalha com organizações que estão determinadas a proteger a si mesmas e seus clientes dos abusos fraudulentos resultantes do preenchimento de credenciais, ao mesmo tempo em que oferece excelentes experiências digitais que encantam os clientes e vencem no mercado competitivo de hoje. A F5 conquistou a fidelidade dos clientes ao proteger contra bots com a mais alta eficácia disponível, sem impor atrito ao usuário. A tecnologia se baseia em anos de pesquisa e desenvolvimento em JavaScript e sinais nativos móveis, abrangendo ambientes de dispositivos e as características comportamentais dos bots. Além da detecção em tempo real com base nesses sinais, o F5 Distributed Cloud Bot Defense inclui um serviço de análise de aprendizado de máquina que detecta e responde rapidamente à reformulação de bots. Para garantir eficácia a longo prazo, o código de coleta de sinais passa por uma técnica avançada de ofuscação, que evita engenharia reversa e adulteração de sinais.

A F5 acredita em tornar a segurança cibernética pessoal, e ataques de preenchimento de credenciais — que fraudam organizações e devastam indivíduos — representam exatamente o tipo de problema que nos dedicamos a resolver. Como Dan Woods, chefe global de inteligência da F5, aponta na Fast Company , esses ataques receberam muito pouca atenção anteriormente. Felizmente, a GPA e diversas agências de privacidade estão trazendo à tona os riscos à privacidade individual.

Nesta era digital, em que grande parte da nossa vida é armazenada como dados on-line, dependemos de organizações que abordam a privacidade de dados com a máxima seriedade, um ponto reforçado pelas leis de privacidade cada vez mais rigorosas promulgadas por governos ao redor do mundo. A legislação de privacidade de dados, como o GDPR, exige que as organizações tomem todas as medidas apropriadas para defender a privacidade. Devido ao que sabemos agora sobre o credential stuffing, essas diretrizes do GPA deixam claro que a proteção contra o credential stuffing deve fazer parte das medidas apropriadas de qualquer organização.

Para mais informações sobre o ROI da proteção contra bots, consulte o Relatório de Impacto Econômico Total da Forrester . Saiba mais e agende uma conversa com um especialista em bots da F5 em f5.com/bot-defense .