Relatório 2023: Visão abrangente da segurança das 100 principais aplicações feitas em Bubble.io

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇵🇹 Portuguese

À medida que a indústria de tecnologia continua a crescer e a evoluir, a segurança e as regulamentações em torno da privacidade dos dados estão se tornando cada vez mais importantes. Isso é especialmente verdadeiro para as aplicações feitas na plataforma no-code Bubble.io, que está se tornando cada vez mais popular. No entanto, o aumento de popularidade também é acompanhado por um maior risco de ciberataques. Apesar da facilidade de uso, as aplicações Bubble.io nem sempre estão bem seguras. Isso ocorre devido a dois fatores principais: falta de informações sobre as melhores práticas e ausência de informações públicas sobre vulnerabilidades/vazamentos existentes e anteriores.Para enfrentar esse problema, a Flusk conduziu um relatório analisando a segurança das 100 principais aplicações feitas na plataforma Bubble.io. Nosso principal objetivo na Flusk é melhorar a segurança e a confiabilidade do ecossistema Bubble. Realizamos mais de 30 auditorias de segurança nos principais atores do espaço Bubble, e o que descobrimos é que o ecossistema precisa de mais educação e ferramentas para torná-lo mais seguro. Nossa nova ferramenta, o Flusk Vault, realiza auditorias de segurança automatizadas em aplicações Bubble. Você pode se inscrever agora e experimentá-lo seguindo este link.‍

Ao analisar a situação em 2022, este relatório oferece uma visão geral da segurança no ecossistema Bubble.io, abrangendo as medidas de segurança atualmente em vigor, vulnerabilidades potenciais e técnicas de remediação, com a esperança de promover um ecossistema seguro, conforme e focado na privacidade.

Este estudo independente é conduzido por um grupo de desenvolvedores Bubble vigilantes e dedicados, com grande interesse em segurança, e não está afiliado à equipe Bubble.

Metodologia do relatório

Para este relatório, seguimos uma metodologia que avaliou a segurança das 100 aplicações mais populares construídas no Bubble.io com base em critérios de vulnerabilidade específicos.

Encontrando as 100 principais aplicações feitas no Bubble.io

Primeiro, coletamos uma lista de aplicativos Bubble de fontes diferentes:

  • Sites de busca tecnológica, nomeadamente BuiltWith e Wappalyzer
  • Todos os aplicativos criados por agências do diretório de agências Bubble.io
  • Todos os aplicativos da seção "Aplicativo do dia" no fórum da Bubble
  • Todos os links que redirecionam para um aplicativo Bubble no fórum da Bubble entre 2018 e 2022
  • Outras fontes menores, como editores de plugins que compartilharam as URLs de instalação de seus plugins.

O seguinte método foi então utilizado para classificar os aplicativos em um Top 100:

  • Remoção de todos os aplicativos obsoletos, aplicativos não-Bubble ou aplicativos feitos pela própria Bubble.
  • Remoção de todos os aplicativos com um plano "grátis" ou "agência".
  • Remoção de todos os aplicativos não sensíveis (como aplicativos apenas de página de destino, ou sem capacidades de conta).
  • Para aplicativos públicos, obter estatísticas de tráfego do SimilarWeb.
  • Para aplicativos desenvolvidos para uso interno, analisamos métricas como o tamanho e o valor da empresa.

Após uma análise abrangente de 38.453 links, conseguimos identificar 2.640 aplicativos elegíveis para o relatório.

→ Após uma classificação adicional, nosso Top 100 de aplicativos consistiu em 87 aplicativos destinados a uso público e 13 exclusivamente para fins internos.

Pontos de vulnerabilidade considerados

Realizamos testes na lista dos 100 melhores aplicativos para analisar os pontos de segurança mencionados abaixo:

  • Exposição de dados sensíveis através de vazamentos na API de Dados
  • Exposição de dados sensíveis devido a regras de privacidade mal configuradas e buscas/recuperações de dados em todas as páginas
  • Acesso não autorizado a páginas restritas ou não públicas (por exemplo, painéis de administrador)
  • Manipulação de fluxos de trabalho restritos (por exemplo, criação de usuários como administradores, atividades relacionadas a operações sensíveis em bancos de dados, etc.)
  • Acesso não autorizado a serviços de terceiros e APIs
  • Limpar dados em fluxos de trabalho de login
  • Vulnerabilidade de senhas temporárias
  • Acesso não autorizado a pontos de extremidade de API

Os testes foram realizados tanto manualmente quanto com a assistência de nossa ferramenta de auditoria interna para operações complexas (por exemplo, força bruta de parâmetros de URL, scrapping XHR, etc.). Os exploits de segurança avançados foram deliberadamente omitidos devido à complexidade de executá-los em um conjunto de dados tão grande (por exemplo, key-to-path, parsing JSON, exploit de cookies, etc.). O relatório não inclui vulnerabilidades menores, como vazamentos de banco de dados com menos de 50 entradas ou ações comprometidas menores.

Uma nota sobre ética

→Todos os atores cujas aplicações foram incluídas no relatório foram notificados das vulnerabilidades antes da publicação do relatório. Fornecemos a eles informações precisas sobre as vulnerabilidades identificadas e oferecemos suporte sem custo para resolvê-las.

→ Nenhum dado da vulnerabilidade foi baixado ou armazenado em sistemas locais, e nossa ferramenta para detecção de dados sensíveis utilizando o Google Vertex AI foi configurada apenas para depender da análise de chave, sem expor seus valores.

→ Nenhuma ação foi realizada a partir de qualquer site através de acesso comprometido ou ações que possam ter sido restritas; em vez disso, usamos apenas o código-fonte do aplicativo para classificar a sensibilidade das ações desencadeadas por possíveis gatilhos de fluxo de trabalho comprometidos.

Os Resultados

Os resultados do estudo foram preocupantes, pois o relatório revelou que 89% das 100 melhores aplicações tinham pelo menos uma vulnerabilidade de segurança.

89% das 100 melhores aplicações apresentaram pelo menos uma vulnerabilidade sensível de segurança.

Vazamentos de dados sensíveis

Os resultados mais preocupantes foram encontrados em relação aos vazamentos de dados sensíveis.Das 100 melhores aplicações analisadas, pelo menos 76 delas apresentavam vulnerabilidades.No total, fomos capazes de identificar mais de 2.300.000 peças de informações sensíveis e pessoais, incluindo números de seguro social americanos, passaportes, digitalizações de carteiras de identidade, registros de vídeo de reuniões privadas, etc.

Parte das aplicações com vazamentos de dados sensíveis das 100 melhores aplicações Bubble.io. Os dados que não puderam ser identificados como sensíveis ou seguros são referidos como "Desconhecidos".

Referimo-nos a dados sensíveis como informações sujeitas a regulamentos legais (como o RGPD, o CPRA ou a Lei de Proteção de Dados de 1998), documentos privados internos ou informações privadas sobre os utilizadores, como o endereço postal ou o número de telefone - excluindo e-mails.

Ações e acesso restrito comprometidos

A análise das 100 melhores aplicações revelou que 53 delas tinham vulnerabilidades de acesso restrito, e 61 tinham ações restritas comprometidas.

Parte das aplicações com ações comprometidas das 100 melhores aplicações Bubble.io. As ações que não puderam ser classificadas como sensíveis ou seguras são referidas como "Desconhecidas".

Esta captura de tela mostra um exemplo de um painel de administração comprometido com ações sensíveis no banco de dados público/ao vivo.

Vulnerabilidades de terceiros ou APIs

Das 100 melhores aplicativos revisados, 18 deles apresentaram vulnerabilidades.

Parte das aplicações com vulnerabilidades de terceiros ou APIs das 100 melhores aplicações Bubble.io. Os serviços que não puderam ser classificados como sensíveis ou seguros, ou para os quais não pudemos confirmar um acesso potencial, são referidos como "Desconhecidos".

Esta captura de tela mostra um exemplo de um serviço de terceiros comprometido com acesso completo de administrador a conteúdo e ações sensíveis.

Atore(s) de desenvolvimento envolvidos

Entre as 89 aplicações que apresentaram vulnerabilidades, conseguimos identificar a origem do desenvolvimento do aplicativo para 75 delas.

  • Aproximadamente 92% dos aplicativos criados por empreendedores independentes ou empresas tinham vulnerabilidades.
  • Aproximadamente 65% dos aplicativos criados por agências Bubble tinham vulnerabilidades.
  • Aproximadamente 82% dos aplicativos criados por freelancers ou desenvolvedores independentes tinham vulnerabilidades.

Conclusão

O Bubble.io é uma plataforma segura que empregou medidas protetoras fortes para a segurança dos dados. No entanto, sua ampla disponibilidade e interface de usuário intuitiva a tornam acessível a um grande público que pode não ter uma compreensão abrangente de cibersegurança ou conhecimento atualizado das regulamentações de privacidade de dados, o que potencialmente leva a riscos para os usuários finais. Esse fenômeno parece ser ainda mais amplificado pela falta de informações adequadas sobre práticas de segurança e pela escassez de relatórios públicos sobre vulnerabilidades anteriores ou existentes. Também é necessário correlacionar essa observação com o crescimento exponencial das ferramentas de não-codificação, e mais especificamente do Bubble. Cada vez mais aplicativos são construídos com o Bubble.io, portanto, estatisticamente, cada vez mais aplicativos têm falhas de segurança. É necessário tomar medidas o mais rápido possível para manter esse ecossistema seguro e não perder credibilidade.

Curva de crescimento do número de aplicativos em execução no Bubble.io entre 2013 e 2022. Fonte: BuiltWith.

Portanto, é urgente conscientizar os diferentes atores, incluindo empresários individuais, freelancers e agências.

Construção de um aplicativo Bubble seguro

Após realizar mais de 30 auditorias manuais para aplicações Bubble, nossa equipe desenvolveu um aplicativo interno inovador para agilizar o processo. Em consulta com os proprietários de agências, ficou evidente que uma ferramenta de segurança de alto desempenho poderia aprimorar seus procedimentos de garantia de qualidade e facilitar a entrega de aplicações seguras. Consequentemente, colaboramos com mais de 15 agências e mais de 50 freelancers do Bubble para criar uma solução automatizada que replica nossos esforços manuais. Recentemente, introduzimos o Flusk Vault, uma ferramenta de ponta projetada para ajudar desenvolvedores Bubble, agências e proprietários de negócios a lançar aplicações seguras, livres de violações de dados ou pontos de acesso comprometidos.

Esta captura de tela mostra um exemplo concreto do Flusk Vault em um aplicativo de teste.

Ao ler este estudo, gostaríamos de agradecer por se preocupar com temas tão importantes no ecossistema Bubble, oferecendo um desconto de 10% na sua primeira licença do Flusk Vault. Você pode se inscrever seguindo este link este link e use o seguinte código durante o checkout: “SECURITYSTUDY4800”.
Aqui está artigo rápido sobre como aplicar códigos de desconto.

Também lançamos um livro gratuito sobre segurança no Bubble que ensinará como construir aplicações seguras. 80 páginas de exemplos concretos, revisados por Bubble e 15 especialistas desenvolvedores Bubble:🔗 O Guia de Segurança Bubble 2023

Revisão por especialistas em Bolhas

Enviamos este relatório a especialistas em Bolhas reconhecidos para saber o que eles pensaram sobre os resultados e como seu trabalho pode melhorar a segurança na Bubble.

Petter Amlie profile picture

Petter Amlie

Petter é um especialista bem conhecido e reconhecido no ecossistema Bubble. Ele é o autor de O Guia Definitivo de Segurança para Bubble e O Guia Definitivo de Desempenho para Bubble. Ele também está trabalhando com a Bubble na documentação do produto.

O que você acha dos resultados deste estudo?

“Eles são certamente preocupantes, mas não surpreendem. O Bubble oferece segurança sólida, mas ainda é relativamente difícil configurar um aplicativo que aborde todas as vulnerabilidades potenciais, pelo menos em comparação com a facilidade de uso de outras partes de sua plataforma. É um desafio, pois a maioria das vulnerabilidades não é ignorada, mas os desenvolvedores desconhecem sua existência. Tornar isso uma conversa de alta prioridade na comunidade é importante.”

O que você acha que é a causa principal deste resultado?

“Eu acredito que existem várias causas. Talvez em primeiro lugar, concordo que o Bubble atrai um público que não tem experiência em segurança cibernética, e isso fica evidente. Eles também podem não ter experiência em design e lógica de fluxo de trabalho, mas os resultados imediatos de WYSIWYG os forçam a aprender. As vulnerabilidades de segurança são em grande parte invisíveis e muito difíceis de se conscientizar se você não for informado. Em segundo lugar, a segurança é uma baixa prioridade para muitas empresas: a maioria delas muda suas práticas após sofrer uma violação, portanto, isso não é exclusivo do Bubble. É especialmente difícil priorizar quando se está construindo uma startup com a esperança de levá-la rapidamente ao mercado, e aprender sobre segurança parece um desafio insuperável. Além disso, é um ciclo negativo em que muitos usuários estão construindo sua aplicação enquanto estão aprendendo, e a segurança muitas vezes é a última coisa que eles abordam. Mudar o rumo e fazer alterações em sua aplicação depois do fato não é uma tarefa tentadora.”

Quais soluções você acha que seriam eficazes para melhorar a segurança do ecossistema Bubble?

“A conscientização é obviamente a número um. Eu não acredito que os grupos de hackers em larga escala estejam muito cientes do Bubble ainda, mas redes de bots certamente serão criadas para explorar vulnerabilidades conhecidas e quando isso acontecer, milhares de aplicativos podem ser expostos de uma só vez: e quem sabe quantos dados de usuários. A documentação do Bubble precisa continuar melhorando, e para integrar novos usuários e usuários casuais do Bubble em boas práticas de segurança, recursos de terceiros como livros e sua plataforma de auditoria não são suficientes: o Bubble precisa trabalhar para fortalecer a conscientização e ajudar os desenvolvedores a entender as melhores práticas desde cedo no processo de desenvolvimento do produto.”

Como você contribui para a segurança do ecossistema Bubble?

“Minha contribuição mais óbvia, eu suponho, é o livro e espero que o trabalho que estou fazendo no manual. A segurança certamente será uma parte importante desse trabalho, mesmo que ainda não tenhamos chegado a esse ponto no desenvolvimento do manual. Eu realizo sessões de coaching e treinamentos/bootcamps, mas o grande e significativo volume de usuários é alcançado através dos livros, artigos e do manual.”

Você acha que as soluções de segurança externas (nocode:nohack, ncScale, Flusk) têm seu lugar no ecossistema? Por quê?

“Muito definitivamente. A segurança é um trabalho de estrutura e repetição: verificações e mais verificações. Vamos supor que um sistema como o Flusk pode revelar 80% das potenciais vulnerabilidades antes de cada implantação - obviamente, isso é muito melhor do que 0% e, o que é ainda mais importante, acontece todas as vezes. Mesmo que existam 20% de casos específicos que ainda passam despercebidos, eu diria que isso ainda é uma melhoria significativa. Estou inventando esses números para ilustrar meu ponto, mas sim: se o software pode substituir listas de verificação gerenciadas por humanos, está garantido que reduzirá a taxa de erro humano.”

Se você tivesse que dar 1 dica de segurança para todos que aprendem Bubble, qual seria?

“Eu te darei duas: aprenda as regras de privacidade e aprenda a diferença entre o lado do cliente e o lado do servidor.”

Benoit De Montecler profile picture

Benoît de Montecler

Benoît é o co-fundador da ncScale, a primeira ferramenta para tornar o seu no-code confiável, seguro e de fácil manutenção.

O que você acha dos resultados deste estudo?

“Estes resultados são preocupantes porque pioraram em um ano. O volume de aplicações mais do que duplicou, e milhares de novos utilizadores do Bubble estão a chegar e a negligenciar a segurança das suas primeiras aplicações. Como qualquer nova tecnologia, estamos a descobrir as suas fraquezas pouco a pouco. Isso não me preocupa porque segue o que aconteceu com o código. As aplicações baseadas em código têm tantas falhas quanto as sem código, mas os desenvolvedores estão mais bem preparados para monitorá-las ao contrário do que acontece com o no-code. Novas ferramentas como Flusk ou ncScale mostram que as coisas estão indo na direção certa.
Contrariamente ao que se pensa, bons no-coders são tão raros quanto bons desenvolvedores.
Agora é essencial para as empresas dominar o no-code, pois isso se tornou uma vantagem competitiva. Desenvolver 10 vezes mais rápido do que um concorrente não deve ocorrer à custa da qualidade, e isso é agora possível graças a essas novas ferramentas.

O que você acha que é a principal causa deste resultado?

“Os recém-chegados ao Bubble usam esta ferramenta da mesma forma que usariam qualquer outra plataforma SaaS que evita que os usuários criem vulnerabilidades. Graças à sua abordagem permissiva, o Bubble é muito poderoso em termos de personalização. Isso é o que o torna seu principal ativo e sua principal fraqueza.”

Quais soluções você acha que seriam eficazes para melhorar a segurança do ecossistema Bubble?

“O Bubble deveria escanear aplicativos e ser proativo em relação a certas coisas óbvias, como:
- Alertar quando dados sensíveis estão públicos.
- Tornar elementos públicos desnecessários privados, como a lista de páginas, a estrutura do banco de dados e a lista de APIs de terceiros utilizadas.
- Destacando as ferramentas de segurança do Bubble, há cada vez mais delas, o que é um bom sinal! Começou com Tinkso depois ncScale e finalmente Flusk! Isso está indo na direção certa, e espero que outras venham!"

Como o ncScale contribui para a segurança e confiabilidade do ecossistema Bubble e da indústria no-code em geral?

“Reintegramos as funcionalidades do nosso plugin de segurança 'nocodenohack' ncScale, e acabamos de lançar alertas nos registros do Bubble. Isso nos permite monitorar comportamentos não autorizados em tempo real, como acesso não autorizado a uma página de administrador por um usuário, detectar erros que bloqueiam usuários ou detectar um pico anormal no uso de uma funcionalidade.”

Se você tivesse que dar um conselho de segurança para todos que estão aprendendo Bubble, qual seria?

“Se há uma coisa para lembrar ao proteger sua aplicação Bubble, é que você precisa projetar seu banco de dados e configurar suas regras de privacidade ao mesmo tempo! Se você não fizer ambas em paralelo, será difícil protegê-lo e o risco de erro é muito alto.”

Recursos

Soluções imediatas incluem recursos de atores bem conhecidos, como:

Este relatório foi baseado em um estudo realizado em dezembro de 2022 pela Flusk.

Se você deseja usar ou republicar o conteúdo deste artigo, por favor entre em contato com inquiries@flusk.eu para obter permissão.