Enable javascript in your browser for better experience. Need to know to enable it? Go here.
radar blip
radar blip

Gerenciamento casual de webhooks

Publicado : Apr 26, 2023
NÃO ENTROU NA EDIÇÃO ATUAL
Este blip não está na edição atual do Radar. Se esteve em uma das últimas edições, é provável que ainda seja relevante. Se o blip for mais antigo, pode não ser mais relevante e nossa avaliação pode ser diferente hoje. Infelizmente, não conseguimos revisar continuamente todos os blips de edições anteriores do Radar. Saiba mais
Apr 2023
Hold ? Prossiga com cautela.

À medida que o trabalho remoto continua a aumentar, também aumenta a adoção de plataformas de colaboração por chat e ChatOps. Essas plataformas geralmente oferecem webhooks como uma forma simples de automatizar o envio de mensagens e notificações, mas notamos uma tendência preocupante: o gerenciamento casual de webhooks — onde eles são tratados como uma configuração em vez de um segredo ou uma credencial. Isso pode levar a ataques de phishing e a espaços internos comprometidos. Os webhooks são credenciais que oferecem acesso privilegiado a um espaço interno e podem conter chaves de API com possibilidade de serem facilmente extraídas e utilizadas diretamente. Não tratá-los como segredos abre a possibilidade de ataques de phishing bem-sucedidos. Webhooks em repositórios Git podem ser facilmente extraídos e usados para enviar payloads fraudulentos, que a usuária talvez não tenha como autenticar. Para atenuar essa ameaça, as equipes que lidam com webhooks precisam mudar sua cultura e tratar os webhooks como credenciais confidenciais. As pessoas desenvolvedoras de software que criam integrações com plataformas ChatOps também devem estar atentas a esse risco e garantir que os webhooks sejam tratados com medidas de segurança adequadas.

Baixe o PDF

 

 

 

English | Español | Português | 中文

Inscreva-se para receber o boletim informativo Technology Radar

 

 

Seja assinante

 

 

Visite nosso arquivo para acessar os volumes anteriores