Utilizamos o GitHub como nosso repositório de código. Alguns dos nossos clientes integram o WISEflow nas suas plataformas através de APIs e, para tal, necessitam de autorização para iniciar sessão. A nossa nova parceria com o GitHub procura estas chaves API – as nossas credenciais – para verificar se estão a ser utilizadas para outros fins. Se for encontrada uma chave API do WISEflow em repositórios de código públicos, o GitHub encaminhá-la-á para a UNIwise, e nós desativaremos imediatamente a chave e contactaremos o cliente.
Isto ajudará a proteger os utilizadores comuns do WISEflow e do GitHub em repositórios privados e públicos. Garante também que os nossos clientes e os seus dados estão protegidos.
O principal objetivo de um atacante seria utilizar chaves API para obter acesso ao nosso sistema e, a partir daí, tentar aproveitar as suas permissões para obter acesso de root. Isto também é conhecido como um ataque à cadeia de abastecimento, que é um ciberataque que visa prejudicar uma empresa, visando elementos menos seguros na cadeia de abastecimento.
Um exemplo conhecido deste tipo de ataque pode ser a violação de dados do governo federal dos Estados Unidos em 2020, orquestrada por um grupo apoiado pelo governo russo. Os atacantes utilizaram credenciais de várias empresas, nomeadamente a Microsoft e a SolarWinds, uma importante empresa de tecnologia da informação dos EUA. O código pirateado foi introduzido nos computadores dos clientes através de atualizações de software e, em seguida, utilizado como porta de entrada nos seus sistemas, a fim de espionar as suas operações e instalar mais software espião. Estima-se que o ataque tenha custado às empresas e agências governamentais americanas mais de 100 mil milhões de dólares
No caso do WISEflow e do GitHub, a verificação de chaves API impede os atacantes de prosseguirem. A colaboração com o GitHub reforça ainda mais a nossa segurança de dados, que está no cerne da nossa atividade, e protege os dados dos nossos clientes.
Para além da nossa parceria com o GitHub, a UNIwise conta com outros parceiros de segurança que nos ajudam a rever e melhorar a segurança na configuração interna do WISEflow.
