Com a entrada em vigor da Lei Geral de Proteção dos Dados (LGPD), empresas e pessoas estão mais atentas a tudo que pode representar riscos à segurança das suas informações e à sua privacidade. Um desses riscos pode estar associado aos chamados cookies.

Cookies são arquivos de texto armazenados em seu computador pelo navegador. Eles são enviados sempre que você acessa um site — no entanto, eles podem representar uma vulnerabilidade para sua empresa.

Os cookies são essenciais para a navegação na web, uma vez que permitem aos sites oferecer visitas personalizadas e convenientes. Eles permitem que os sites lembrem do usuário, dos logins anteriores e muito mais. Mas também podem ser um foco de ataques cibernéticos.

A maioria dos cookies é perfeitamente seguro (e, com a aprovação da LGPD), os sites estão permitindo que você gerencie os cookies que eles utilizam. No entanto, eles ainda podem ser usados executar ataques que comprometem os dados da sua empresa. Neste artigo, você entenderá como os cookies funcionam e quais os riscos eles podem representar para sua empresa. Acompanhe!

Então, o que são esses cookies?

Cookies são pequenos arquivos de texto com a extensão .txt armazenados nos dispositivos dos usuários através dos navegadores. Ao contrário do que muitas pessoas pensam, eles não podem acessar outros dados armazenados nos discos rígidos desses dispositivos quando colocados em um computador ou dispositivo móvel.

Embora as informações coletadas por meio de diferentes tipos de cookies e seu uso possam variar, a lógica operacional de todos os cookies é a mesma. Quando um usuário efetua login em um site pela primeira vez, o servidor de internet atribui uma identidade específica e distinta do usuário.

Esta identidade é armazenada no computador ou dispositivo móvel em que o navegador é executado e, caso o usuário entre novamente no site, o navegador envia um cookie para o servidor, permitindo que o site se lembre do usuário. Na verdade, os cookies funcionam como uma espécie de memória da internet rodando por meio de protocolos que fornecem o fluxo de dados.

Veja como os cookies são usados:

  • Gerenciamento de sessão. Os arquivos de cookies possibilitam que os sites reconheçam o usuário que o está acessando e gerenciem sua sessão (o tempo que ele permanece no site) para oferecer conteúdos personalizados de acordo com suas preferências;
  • Publicidade. Atualmente, o seu uso mais comum é para a publicidade. Sites utilizam os arquivos para lembrar suas preferências e exibir anúncios personalizados (geralmente, em formato de banners) de acordo com seu perfil;
  • Rastreamento. Os cookies foram inventados justamente como forma de permitir que os carrinhos de compra em lojas virtuais existissem. Eles lembram suas escolhas de compras para que você possa retornar depois e finalizar a compra, ou para que a loja virtual possa fazer recomendações a você de acordo com o que comprou anteriormente.

Veja mais >> Conheça a importância de um Site Survey para seu projeto de Wi-Fi 

Quais são os riscos dos cookies?

Os riscos comuns dos cookies incluem:

1. Ataque de falsificação de solicitação entre sites

Um navegador envia um cookie em resposta a uma solicitação, independentemente de onde a solicitação veio. É aqui que entra o problema real com os cookies.

Quando um site recebe uma solicitação, ele não consegue distinguir se a ação foi iniciada pelo usuário ou não. Ele procura o cookie e, se o cookie estiver disponível, executa deliberadamente a ação como se o usuário a tivesse iniciado.

2. Fixação de sessão

Ataques de fixação de sessão são baseados no nível do aplicativo. Nesse tipo de ataque, um invasor impele o usuário a usar o ID de sessão do invasor ou de outro. Isso pode ser feito usando o caminho da diretiva do navegador do cookie, portanto, o usuário finge ser outra pessoa. Usando esse método, um invasor pode solicitar que o usuário efetue login como invasor em vários níveis de aplicativo.

3. Ataque de lançamento de cookies

O lançamento de cookies é um dos principais tipos de ataques. Considere que um usuário visita “www.exemplo.com.br” e recebe o cookie do domínio. Na próxima vez que o usuário navegar no mesmo site, o cookie será enviado ao servidor da web.

Agora, o problema é que o cookie não contém nenhum caminho ou nome de domínio. Portanto, se um invasor criar um cookie de subdomínio e enviá-lo junto com um cookie legítimo, o servidor da web aceitará os dois cookies. Não há regra no navegador para enviar o cookie de domínio primeiro e, portanto, ele pode escolher o cookie de subdomínio e enviá-lo primeiro.

E se o cookie de subdomínio malicioso for o primeiro recebido pelo servidor da web, ele o considerará válido e o valor do cookie fornecerá a sessão para o usuário. O servidor da web não pode validar qual é o cookie legítimo, porque os atributos do cookie, como caminho de domínio seguro e atributos HttpOnly, não são enviados a ele.

4. Cookie Overflow

Nesse tipo de ataque, um cookie de domínio pode ser substituído por de subdomínio. Os navegadores têm um limite no número de cookies para definir e navegadores como o Chrome não verificam se os cookies armazenados são de um domínio ou subdomínio. Ele simplesmente armazena os cookies que são fornecidos a ele.

Os cookies de subdomínio substituídos não serão do tipo HttpOnly ou seguro. Agora, depois de armazenar o cookie de subdomínio, um invasor pode alterar a data de expiração do cookie e todo o cookie será inútil. Agora o invasor pode criar um novo cookie malicioso e encaminhá-lo ao servidor da web, realizando um ataque.

Como se proteger dos riscos dos cookies?

Os cookies apresentam um risco de segurança, mas como acontece com a maioria das atividades online, é possível negar e reduzir esses riscos. Para se proteger dos aspectos mais perigosos dos cookies, instrua os funcionários e faça o seguinte:

  • Desative o armazenamento de cookies no navegador de internet. Isso reduz a quantidade de informações compartilhadas e pode ser ajustado nas configurações de privacidade do navegador;
  • Estão disponíveis plugins de navegador que bloqueiam softwares de terceiros, como rastreadores de cookies, e garantem que seus hábitos de navegação permaneçam privados;
  • Sempre certifique-se de ter um software anti-malware instalado nos dispositivos, pois o malware pode frequentemente se disfarçar como cookies inofensivos ou se infiltrar em redes de publicidade;
  • Se um site solicitar que você aceite cookies e você não tiver certeza de sua legitimidade, saia do site imediatamente.

Gostou de aprender sobre os riscos e como se proteger? Veja também nosso post sobre Security Data e saiba mais sobre como proteger seus dados sensíveis!