Selhání při zpracování dat a secrets

• Low-code/No-code aplikace často ukládají data a secrets jako součást “kódu”, nebo v databázi nabízené platformou.
• Tato data musí být uložena odpovídajícím způsobem v souladu s bezpečnostními požadavky a předpisy.
• Aplikace často obsahují citlivé, osobní i finanční údaje.
• Tvůrci rozhodují o způsobu ukládání dat, ale administrátoři často ztrácejí přehled o takto spravovaných databázích.
• Data jsou často ukládána nešifrovaně a přesouvána mezi různými geografickými lokalitami bez ohledu na regulační požadavky.
• Hard-coded secrets jsou k dispozici všem uživatelům s oprávněním k zápisu a mohou unikat k uživatelům aplikací nebo anonymním uživatelům prostřednictvím kódu na straně klienta.
• V mnoha nativních proudech protokolů se mísí protokoly aplikace, metriky a citlivá data, která jsou aplikací předávána.

Jak zranitelnosti předcházet

🔴 Vzdělávejte byznys uživatele v oblasti dodržování předpisů, ochrany soukromí a bezpečnostních rizik spojených s ukládáním dat.

🔴 Monitorujte spravované databáze, proměnné prostředí a konfiguraci poskytovanou dodavateli.

🔴 Zapojte bezpečnostní týmy u aplikací, které mají přístup k citlivým datům.

Příklad zneužití zranitelnosti

1. Vývojáři vytvoří podnikovou aplikaci, která požaduje vyplnění formuláře s citlivými údaji.
   • K ukládání dat je použita spravovaná databáze platformy.
   • Spravovaná databáze je ve výchozím nastavení sdílena všem vývojářům a všichni mají přístup k citlivým datům.
2. Vývojář vytvoří aplikaci pomocí vlastního API rozhraní.
   • Do kódu vloží API klíč.
   • Ostatní vývojáři mohou k API klíči přistupovat přímo.
   • API klíč může uniknout do klientské aplikace, což uživatelům umožní získat přímý přístup ke klíči.

Kam dál

• Establishing a DLP strategy
• 3 Ways No-Code Developers Can Shoot Themselves in the Foot