DoTheMATH Blog

Sua ferramenta de automação de marketing pode ser hackeada; como evitar perda de dados

Escrito por Time MATH | 27/01/2023 11:00:00

O Mailchimp foi hackeado recentemente e isso aconteceu duas vezes em um intervalo de seis meses, sendo que na segunda vez, os hackers utilizaram engenharia social para conseguir acessar os dados dos clientes da plataforma. 

Estes recentes ataques ao Mailchimp nos fazem repensar se estamos dando a devida atenção para a segurança das ferramentas que utilizamos, principalmente àquelas que podem armazenar dados sensíveis, como as plataformas para automação de marketing.  

Pensando nisso, pedimos a ajuda dos times de especialistas da MATH MKT e da MATH TECH para ressaltar e relembrar alguns recursos e processos simples, mas importantes para garantir a segurança dos dados de seus clientes: 

Ingestão de dados: Regular os dados que serão enviados para a ferramenta, restringindo a ingestão de dados sensíveis e transferindo somente queles essenciais para suas campanhas. É uma forma simples de limitar a quantidade de informações de seus clientes que podem ficar expostas, principalmente os dados sensíveis como documentos, endereços e dados financeiros. 

Definir Id sistêmico: Definir id sistêmico com identificador único de usuários não utilizando nenhum documento ou outro dado sensível para esse fim. 

Regras de negócio: Manter as regras mais complexas, que exigem mais dados fora da ferramenta, além de otimizar o processamento, garantindo que nenhum dado desnecessário será inserido na base de campanhas. 

Papéis e permissões: Sempre utilizar os recursos nativos das ferramentas para definir papéis e permissões para cada usuário de acesso, limitando a liberdade de manipulação e visualização de configurações e dados somente ao que é necessário para cada pessoa.  

Acompanhamento de usuários: É muito importante também realizar um controle externo da ferramenta e das pessoas com acesso a ela, e acionar o processo de desabilitação de usuário sempre que necessário, por exemplo, em algum desligamento. 

Relatórios de auditoria: Algumas ferramentas possuem relatórios nativos dos acessos realizados, é sempre importante armazenar um histórico com esses logs garantindo material para qualquer investigação futura. 

Regras para criação de senhas: É de extrema importância definir complexidade na criação de senhas de acesso, seja para usuários ou APIs. Várias ferramentas possuem recursos para gerenciar e controlar essa complexidade, além de definir timeout de sessão, tempo para expiração de senha e tentativa de logins, pontos também de extrema importância para controle de acesso.  

Abaixo vão algumas definições básicas para os pontos citados acima: 

  • Time out de sessão: 2 horas 
  • Tempo de inatividade para expirar o login: 30 dias 
  • Tentativas de login antes do lockout: 3 
  • Tamanho mínimo de nome de usuário: 6 caracteres 
  • Tamanho mínimo de senha: 8 caracteres 
  • Complexidade de senha: 1 alpha, 1 numérico, 1 caractere especial 
  • Tempo para expirar a senha: 30 dias 

Autenticação multifator: Um recurso cada vez mais comum nas ferramentas é a utilização dessa funcionalidade, que garante acesso somente após obter sucesso a algum outro mecanismo de autenticação. Existem diversas formas de realizar esse processo, desde a confirmação de códigos recebidos via SMS até apps proprietários que autenticam o acesso, isso varia conforme a ferramenta. 

Além dos pontos acima, existem mais recursos complexos e sofisticados que podem trazer mais segurança como encriptação de dados, envios sem retenção de dados, envios "tokenizados" e listas de restrição de IPs.

Relembre o caso do Mailchimp 

No dia 11 de janeiro, o Mailchimp sofreu um ataque hacker que usou engenharia social para que, por meio de seus funcionários e contratados, pudesse usar suas senhas para obter acesso aos dados de 133 contas da empresa. 

Um dos clientes, vítima do ataque, a gigante do comércio eletrônico WooCommerce, afirmou que a violação pode ter exposto os nomes, endereços da web e endereços de e-mail de seus clientes. No entanto, ela explicou que nenhuma senha de cliente ou outros dados confidenciais foram obtidos. 

Outro ataque semelhante aconteceu em agosto de 2022, quando a engenharia social comprometeu as credenciais de sua equipe de suporte ao cliente, concedendo ao intruso acesso às ferramentas internas do Mailchimp.   

O primeiro ataque teve acesso aos dados de mais de 200 contas da ferramenta. 

Devido a ataques como estes, vale analisar se a ferramenta que você utiliza possui a maioria dos recursos que citamos neste artigo, e caso esses pontos te façam repensar se está utilizando a ferramenta correta da forma correta entre em contato conosco e te ajudamos com essa análise.