Sites e servidores são expostos por falha no PHP7

Na última semana uma notícia preocupou os usuários da linguagem de programação PHP.

A ocorrência de um bug possibilitou risco de invasão em plataformas sociais, servidores corporativos e milhares de sites que se utilizam desse tipo de programação. A falha no sistema de segurança afeta sites baseados em PHP que utilizam servidor NGINX.

O incidente poderia ter sido aproveitado por hackers ou mesmo por pessoas sem tanto conhecimento na área, pois com algumas alterações nas informações de URL já era possível a execução de códigos ao servidor.

O pesquisador russo Emil Neex Lerner, especialista em segurança, afirmou que a falha funcionava por um processo de execução remota de código nos servidores web configurados em PHP 7. Se os invasores forçassem o servidor web a executar seus códigos maliciosos o endereço do site poderia sofrer facilmente um ataque desses hackers.

O site Sempre Update informou que o incidente ocorria apenas em servidores NGINX com extensão PHP-FPM, que é uma extensão apenas para plataformas online de grande tráfego. Podemos citar duas gigantes que utilizam tal linguagem em sua configuração interna: Facebook e WordPress.

Para os usuários dessa programação já saiu um patch de segurança que deve ser instalado o quanto antes. Outra solução para quem não conseguir o acesso ao patch, é adicionar novas regras ao firewall do seu PHP.

Outra informação apontada pelo site é: “A insistência na atualização do servidor web para fechar esse buraco é justificada: segundo o The Inquirer, dois anos após a descoberta e divulgação de um outro exploit — o Heartbleed OpenSSL —, cerca de 200 mil servidores ainda permanecem vulneráveis, o que demonstra a lentidão na correção de falhas de segurança por parte de alguns administradores.”

Já existem hackers se aproveitando da situação para tomarem o comando de alguns servidores. Se sua empresa utiliza essa linguagem de programação recomendamos verificar mais a fundo as medidas a serem tomadas.

Incidentes e a LGPD

Com a implantação da LGPD se aproximando, as empresas têm até agosto de 2020 para evitarem esse tipo de incidente em seus ambientes.

Se a lei já estivesse em vigor e uma empresa de grande porte brasileira, que utilizasse a linguagem PHP 7 dentro das especificações abordadas nessa matéria, tivesse seu servidor web invadido por hackers e os dados pessoais de todos os seus usuários, sejam clientes, colaboradores ou fornecedores expostos. Ela poderia pagar multas que variam de 2% do faturamento anual a 50 milhões de reais.

É importante estar com o seu ambiente preparado para a Lei Geral de Proteção de Dados e um passo muito importante é a contratação de uma empresa especializada no assunto para prestar a consultoria inicial e orientar sobre as medidas cabíveis à realidade da empresa. A Deserv oferece esse tipo de consultoria para todos os tamanhos e segmentos de empresas, orientando nas questões legais cabíveis à lei e a maneira correta do manuseio dos dados pessoais dentro da organização.

Outra questão legal ligada à LGPD que será de fundamental importância para incidentes como o ocorrido com os servidores web que utilizavam a linguagem PHP 7 é a implantação de um DPO (Data Protection Officer), que será a pessoa responsável por administrar o manuseio dos dados pessoais dentro da empresa, também servindo de ligação entre o titular, pessoa física proprietária do dado pessoal, e a ANPD (Agência Nacional de Proteção de Dados Pessoais). Se você tem dúvidas se sua empresa necessita ter um DPO certificado e como proceder com a implantação da LGPD, entre em contato com a equipe comercial da Deserv e saiba mais sobre os cursos em formação de DPO com certificação da Exin, empresa europeia referência no segmento, e também sobre as consultorias adequadas para o seu negócio.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *