Uber Data Breach: Cum să preveniți aplicația dvs. de incidente ca acestea

Publicat: 2017-11-28

În 2016, Uber a pierdut 57 de milioane de utilizatori și informații despre șoferi în fața hackerilor, pe care i-au plătit apoi 1.00.000 de dolari pentru a șterge datele.

Incidentul a intrat în imagine cu câteva zile în urmă, când CEO-ul lor, Dara Khosrowshahi, a făcut o postare în care arunca o lumină asupra încălcării datelor . Și de atunci, cazul securității aplicațiilor a intrat în centrul atenției.

Uber nu este primul caz de încălcare a datelor, există o serie de momente în care datele personale ale utilizatorilor au fost compromise: un eveniment care i-a făcut pe oameni să nu folosească aplicații mobile care le cer informații.

Iată o imagine pentru a arăta poziția utilizatorilor de aplicații mobile în lumina preocupărilor privind securitatea aplicației –

Preocupări privind securitatea aplicației

Vezi cât de groaznic este?

Dar, puteți împiedica aplicația dvs. să devină următorul studiu de caz care avertizează mărcile să-și pună la punct jocul de securitate al aplicației.

Iată cum -

1. Protejați-vă aplicația de la zero

Există o serie de vulnerabilități în codul sursă al aplicației, dar majoritatea companiilor de aplicații se concentrează doar pe partea de rețea, în timp ce se concentrează pe implementarea celor mai bune practici de securitate a aplicațiilor mobile . Există atât de multe locuri care pot constitui fundamentul încălcărilor de date – eroare de codare, testare de cod etc.

Iată lucrurile pe care le puteți face pentru a vă proteja aplicația din ziua existenței sale -

  • Protejați codul aplicației dvs. cu criptare. Există două moduri de a face acest lucru - minificare și ofuscare, dar nu sunt suficiente. Este recomandat să rămâneți cu algori bine acceptați, care sunt combinați cu criptarea API.
  • Rulați frecvent scanarea codului sursă pe codurile dvs

Semnul unui cod securizat este că acesta rămâne securizat chiar și după ce a fost portat între sisteme de operare și dispozitive. Crearea unui cod agil ajută enorm în acest sens.

2. Securizați conexiunea la rețea din backend

lung

Serverele cloud care sunt accesate de API-ul aplicației dvs. trebuie să aibă măsuri de securitate adecvate pentru a preveni accesul neautorizat și pentru a proteja datele utilizatorilor. Verificarea API ar trebui să fie astfel încât informațiile sensibile să nu fie transmise de la client la baza de date a aplicației sau server.

Pentru ca acest pas să fie un succes, este imperativ ca procesul dvs. de dezvoltare backend să fie robust .

Iată cum securizați conexiunea la rețea

  • Creați containere criptate pentru stocarea documentelor și a datelor
  • Efectuați o serie de evaluări ale vulnerabilităților și teste de penetrare a rețelei dvs. pentru a vă asigura că datele sunt protejate.
  • Criptați baza de date și conexiunile cu SSL, VPN și TLS pentru securitate sporită
  • Aplicați Federația – măsura care distribuie resursele pe servere, astfel încât acestea să nu fie toate într-un singur loc, separând în același timp resursele cheie de utilizatori.

3. Aveți în vigoare un proces de autentificare, identificare și autorizare

Iată cum vă puteți identifica, autentifica și autoriza aplicația

  • Asigurați-vă că API-urile pe care le folosește aplicația dvs. sunt doar cele necesare pentru a funcționa și oferă acces numai la părțile care sunt vizate, în loc de toate funcționalitățile aplicației.
  • Există o serie de instrumente și protocoale pe care le puteți utiliza și asigurați-vă că le urmați atunci când aplicația dvs. este în stadiul de dezvoltare. Aici sunt ei -
    • JSON Web Token – Instrumentul ușor este folosit pentru criptarea schimbului de date, implementarea sa fără probleme îl face ideal pentru aplicațiile mobile.
    • OpenID Connect – Este un protocol care permite utilizatorilor să-și refolosească acreditările pe diferite domenii cu ajutorul unui token ID, pentru a-și economisi timp în înregistrare și înscriere cu aceleași informații de fiecare dată.
    • OAuth2 – Protocolul este utilizat pentru a gestiona conexiunea securizată printr-un singur simbol specific utilizatorului. După instalarea cadrului în serverul de autorizare, acesta vă va permite să acordați permisiunea utilizatorilor dvs. între utilizatorii finali și client prin colectarea acreditărilor, cum ar fi întrebări SMS cu 2 factori.

4. Faceți un set cuprinzător de teste

Spre deosebire de o aplicație web, majoritatea datelor din aplicația mobilă sunt salvate local, iar datele fiind pe un dispozitiv a cărui lățime de bandă, performanță și calitate variază, riscul ca aceasta să fie piratată este mult mai mare.
 Pe lângă factorul de instabilitate din dispozitive, există și unele aplicații care tind să elibereze date fără ca utilizatorii să știe acest lucru, cum ar fi sexul, vârsta, utilizarea dispozitivului etc.

Modalități prin care vă puteți asigura că datele clienților sunt securizate în aplicație -

  • Cu ajutorul criptării la nivel de fișier, puteți proteja datele fișier cu fișier. Este una dintre modalitățile de a cripta datele în repaus, astfel încât să nu fie citite atunci când sunt interceptate.
  • Instrumente precum platforma Appcelator asigură că datele mobile care sunt stocate local sunt în siguranță.

Managementul cheilor ar trebui să fie prioritatea ta. Baza unui algoritm puternic este certificatul și cheile sale la fel de puternice.

5. Strategia de securitate API planificată

Deoarece dezvoltarea mobilă este strâns legată de API-uri, o mare parte a securizării unei aplicații depinde de asigurarea securității API-urilor. API-urile transmit date între aplicații, cloud și între un număr de utilizatori. Toate părțile implicate trebuie identificate și autorizate pentru a vedea și utiliza datele. API-urile sunt piatra de temelie a funcționalității, conținutului și datelor, astfel încât asigurarea faptului că acestea sunt securizate vă poate duce mult.

api

Există trei etape în API de care va trebui să aveți grijă, și anume – Identificare, Autentificare și Autorizare.

Să ne uităm la elementele tuturor celor trei de mai jos -

Identificare

Prima parte a procesului, hackurile de identificare pot fi prevenite prin implementarea cheilor API. Aceste chei sunt identificatoare aleatorii, unice, care elimină nevoia de parole.
Deși vă puteți proteja când datele sunt văzute folosind cheile API, nu puteți decide că sunt văzute de cineva care ar fi trebuit să le vadă.

Autentificare

Este procesul care garantează că informațiile sunt văzute de cineva care a fost menit să le vadă. În această etapă, setați nume de utilizator și parole pentru a vă asigura că sistemul primește un nivel suplimentar de securitate.

Autorizare

Acest pas răspunde la întrebarea - Ce se poate face cu API-ul. Pașii pentru securizarea acestui proces includ autorizarea cu 2 factori, jetoane și parole unice.

6. Testați aplicația

Indiferent dacă aplicația dvs. este hibridă, nativă sau aplicație web, ar trebui testată nu doar din punctul de vedere al utilizabilității și funcționalității, ci și din punct de vedere al Securității. Există o serie de pași pe care trebuie să îi urmați pentru a vă asigura că aplicația dvs. este asigurată de calitate pentru a vă asigura că este sigură.

 Iată modalitățile prin care vă puteți asigura că aplicația dvs. este testată pentru securitate -

  • Testarea de penetrare – înseamnă sondarea rețelei și a sistemului pentru a găsi punctele slabe.
  • Utilizați emulatori pentru a testa modul în care funcționează aplicația într-un mediu simulat.
  • Testați în detaliu problemele de autorizare și autentificare, gestionarea sesiunilor și securitatea datelor.

Așadar, acestea au fost cele 6 moduri pe care le-ai putea folosi în procesul de dezvoltare a aplicației pentru a te asigura că a ta nu este cea în lumina reflectoarelor.

Asigurați-vă că vă încorporați bine în timp, cât timp aveți timp.