Simon Wijckmans
Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.
Articles by Simon Wijckmans
O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm
O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.
Simon WijckmansPorque os CAPTCHAs já não são uma defesa fiável contra bots
Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.
Simon WijckmansFunnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura
As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.
Simon WijckmansA inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior
A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.
Simon Wijckmanscside nomeada SourceForge Spring 2026 Top Performer em segurança do lado do cliente
A cside foi nomeada SourceForge Spring 2026 Top Performer, sinal de confiança dos utilizadores em segurança do lado do cliente.
Simon Wijckmanscside copreside a segurança antifraude do navegador no W3C
Simon Wijckmans é agora copresidente do AFCG do W3C enquanto a cside ajuda a definir sinais privados contra fraude com IA.
Simon WijckmansComo agentes OpenClaw burlam a deteccao de bots (e como impedi-los)
Agentes OpenClaw combinados com ferramentas de navegador furtivo podem burlar a deteccao de bots legada. Entenda como a fraude agentica funciona e como o fingerprinting do navegador ajuda a impedi-la.
Simon WijckmansComo Dados Avançados de Localização Previnem Tomada de Conta e Detectam Reutilização Insegura de Tokens por Agentes de IA
Como dados avançados de localização ajudam equipes de segurança a detectar viagens impossíveis, reutilização de sessões roubadas e atividade insegura de agentes de IA antes que a tomada de conta se transforme em fraude ou perda de dados.
Simon WijckmansComo Scripts de Terceiros Comprometidos Podem Fazer Prompt Injection em Agentes de IA
Scripts de terceiros já adaptam o comportamento de sites com base nas características do navegador. Essa mesma flexibilidade pode ser explorada para detectar agentes de IA e injetar instruções enganosas ou conteúdo alterado.
Simon WijckmansDarkSword: cadeia de exploits em JavaScript puro transforma sites legítimos em armas
DarkSword é uma cadeia de exploits completa para iOS, distribuída por meio de ataques watering hole em sites legítimos comprometidos. Funciona inteiramente em JavaScript, contorna mitigações binárias e instala backdoors baseados em JavaScript que exfiltram dados sensíveis.
Simon WijckmansComprometimento da cadeia de suprimentos do AppsFlyer Web SDK - crypto stealer polimórfico
Um sequestro de DNS no nível do registrador do appsflyer.com serviu um payload polimórfico de roubo de criptomoedas por meio do AppsFlyer Web SDK, afetando milhares de sites e alguns ambientes de servidor Node.js. Esta publicação resume telemetria, indicadores forenses, IOCs, orientações de detecção e etapas de remediação.
Simon WijckmansScanner OpenClaw para Scripts de Terceiros
Um scanner gratuito e de código aberto que faz inventário de scripts de terceiros, detecta fingerprinting, audita cabeçalhos de segurança e cookies, e sinaliza exposições ao PCI DSS em páginas de pagamento. Execute uma auditoria rápida de 30 segundos para revelar qual código é executado nos navegadores dos seus usuários.
Simon WijckmansPor Dentro do Coruna - Exploit iOS via Web Script
Seu site pode ter sido usado para distribuir este kit de exploit para iOS sem que você soubesse. Uma análise técnica completa do Coruna: cinco cadeias de exploit, 23 CVEs e a infraestrutura de entrega que transforma qualquer site em um vetor de ataque em potencial.
Simon Wijckmans"Microsoft Clairty" Não É o Microsoft Clarity: Desofuscando um Script de Fraude em Anúncios com Typosquatting
A cside identificou uma nova injeção maliciosa no lado do cliente originada de uma extensão de navegador maliciosa que se passa pelo Microsoft Clarity e sobrescreve tokens de referência para redirecionar receita de afiliados a um agente malicioso.
Simon WijckmansMelhores práticas para proteger scripts de terceiros em páginas web
Scripts de terceiros podem expor dados sensíveis nos navegadores dos seus usuários. Aprenda as melhores práticas para proteger o código client-side e reduzir o risco de vazamentos.
Simon WijckmansMelhores ferramentas de segurança do lado do cliente para aplicativos da web
Os aplicativos da Web aproveitam scripts do lado do cliente. Uma abordagem de monitoramento multicamadas é a melhor maneira de detectar atividades suspeitas nesses scripts.
Simon WijckmansComo detectar tráfego VPN em um site
As leis de verificação de idade dos EUA e do Reino Unido exigem que empresas impeçam menores de acessar conteúdo restrito, incluindo controles contra o uso de VPNs para contornar essas restrições.
Simon WijckmansPrevisões de Segurança Web para 2026 pelo CEO da cside
2026 será diferente dos anos anteriores. Estaremos de olho em: phishing com deepfake, recomendações de segurança alucinadas por LLMs e agentes de IA como atacantes.
Simon WijckmansAs diferenças nas soluções de segurança do lado do cliente
Quando um usuário visita um site, um servidor web direciona o navegador para buscar o conteúdo. Alguns de servidores gerenciados pelo proprietário do site, às vezes de terceiros. As soluções de segurança do lado do cliente visam devolver o controle ao proprietário do site, porque ele é responsável pelas ferramentas do seu site
Simon WijckmansMelhor segurança do lado do cliente para comércio eletrônico?
Os sites de comércio eletrônico são grandes consumidores de tags de rastreamento do lado do cliente, o que cria um risco significativo de exfiltração maliciosa de dados confidenciais, mas também de tags legítimas que coletam mais dados do que o necessário para vender a corretores de dados. A solução cside resolve essas preocupações com facilidade.
Simon WijckmansMelhor segurança do lado do cliente para instituições financeiras?
Os alvos dos estados-nação, como as instituições financeiras, precisam fazer parceria com fornecedores que entendam as limitações e trabalhem para chegar o mais próximo possível da cobertura total. Leia por que muitos escolhem o modelo multicamadas do cside.
Simon WijckmansO Ataque à British Airways em 2018 - A História Completa
O ataque à British Airways em 2018 afetou 429.612 pessoas. Veja por que a cside comprou o domínio do atacante para transformá-lo em uma lição sobre segurança web moderna.
Simon WijckmansComo a cside trouxe a IA para a segurança do lado do cliente
Em 2024, a cside lançou a primeira solução de segurança do lado do cliente com IA integrada para análise de segurança JavaScript e automação de conformidade.
Simon WijckmansRespondendo às Afirmações Incorretas da Reflectiz Sobre o cside
Entenda por que as afirmações da Reflectiz baseadas em scanner sobre o cside são incorretas e como a segurança client-side em tempo real do cside oferece proteção mais profunda, análise forense completa de payloads e conformidade com o PCI DSS 4.0.1.
Simon WijckmansGerenciamento de Integridade de Scripts para Marcas de E-commerce (SRI, Scripts Dinâmicos)
Análise aprofundada sobre integridade de scripts vs. Subresource Integrity vs. monitoramento comportamental para conformidade com PCI DSS 6.4.3, 11.6.1, ISO 27001 e HIPAA.
Simon WijckmansO incidente da Cloudflare: Como o cside minimizou o impacto para os clientes
Em 18 de novembro, a Cloudflare teve um incidente que afetou milhares de clientes. Este blog explora como limitamos o impacto para os nossos próprios clientes.
Simon WijckmansComo aplicativos móveis WebView são perigosos para o setor bancário
"Apps" bancários que rodam em ambientes de navegador expõem credenciais sem que as equipes percebam. Este artigo explora exemplos de ataques a aplicativos móveis WebView.
Simon WijckmansArquiteturas Fail-Open: a importância de estar preparado para um dia ruim.
Os clientes perguntam com frequência: "o que acontece se o cside cair?" ou "vai adicionar latência?". Veja como nossa arquitetura fail-open está preparada para um dia ruim.
Simon WijckmansComo Contornar Agentes JavaScript, CSP e Crawlers (Testes de Segurança no Lado do Cliente)
A maioria das ferramentas de conformidade no lado do cliente pode ser facilmente contornada. Mostramos como testar vulnerabilidades em CSP, crawlers e agentes JS, além de alternativas mais seguras.
Simon WijckmansO que é Segurança do Lado do Cliente?
Os navegadores são ambientes poderosos e repletos de recursos. Cada vez mais aplicações também são, na prática, navegadores por baixo dos panos. Isso é ótimo para desenvolver aplicações, mas agentes mal-intencionados também exploram o cliente como superfície de ataque.
Simon WijckmansDocumentação do Mockito sequestrada
Alguns ataques são ridiculamente simples. O Mockito, um pacote open source popular, continha um link malicioso na Wiki do Github.
Simon WijckmansRiscos de Segurança no Vibe Coding: Exposições no Lado do Cliente em Plataformas de IA (Lovable, Copilot, Cursor e mais)
Entenda as vulnerabilidades mais comuns em código gerado por plataformas de IA como Lovable, Copilot, Cursor e Replit. Veja como corrigi-las antes de colocar em produção.
Simon WijckmansO Que os QSAs Devem Verificar ao Avaliar o PCI 6.4.3 e 11.6.1
Preparamos um checklist resumido, sinais de alerta para identificar e as diferenças de conformidade entre CSP, Crawlers e scripts client-side.
Simon WijckmansRelatório de Ataques no Lado do Cliente T2 2025
A pesquisa da cside descobriu mais de 72.000 sites comprometidos, revelando como os invasores estão utilizando mecanismos de entrega baseados em JavaScript, vulnerabilidades na cadeia de fornecimento de terceiros e táticas enganosas de engenharia social baseadas no navegador, como atualizações falsas de navegador.
Simon WijckmansO Ponto Cego de PII na Segurança Web
Mas os dados de PII trafegam pelo frontend, onde os controles são mais fracos e a visibilidade costuma ser limitada.
Simon WijckmansSistema de Verificação de Idade na Internet do Reino Unido explicado para segurança cibernética
O objetivo do Sistema de Verificação de Idade na Internet do Reino Unido é proteger crianças que navegam na internet. Mas essas verificações trazem novos riscos de segurança cibernética e preocupações com privacidade.
Simon Wijckmanscside na PCI SSC 2025 North America Community Meeting
Estaremos presentes na PCI SSC 2025 North America Community Meeting, de 16 a 18 de setembro.
Simon WijckmansComo extensões do Chrome podem remover cabeçalhos de segurança
Muitos navegadores atualizam extensões automaticamente, sem aprovação específica ou opt-in. Isso significa que uma extensão que funciona de um jeito hoje pode se comportar de forma completamente diferente amanhã, sem que você seja avisado.
Simon WijckmansQual é a principal tecnologia para prevenir o roubo de dados de cartão de crédito?
O Relatório Semestral de Ameaças da Visa (Primavera de 2025) identifica o skimming digital como uma das ameaças "mais prolíficas e consistentes" no ecossistema de pagamentos.
Simon Wijckmanscside na BlackHat USA 2025
cside estará presente na BlackHat USA 2025.
Simon WijckmansPor que crawlers não podem ajudar com conformidade PCI (sozinhos)
Crawlers agem como um usuário, mas claramente não são um usuário humano real. Se um script malicioso for injetado devido a uma interação do usuário, o crawler não verá o script malicioso a menos que faça essa interação do usuário
Simon WijckmansPCI Compliance 4.0.1: Um Webinar com Guia Prático de Implementação
Fizemos uma parceria com a VikingCloud, a maior empresa global de QSA e segurança para conformidade PCI, em 2 webinars que oferecem todo o contexto e as informações necessárias para implementar o PCI DSS 4.0.1. Com foco especial nos requisitos 6.4.3 e 11.6.1.
Simon WijckmansPor Que Nos Chamamos cside
Nos nomeamos a partir da parte da web que ninguém mais estava protegendo: o lado do cliente.
Simon WijckmansAtores maliciosos norte-coreanos tentam se infiltrar em empresas de tecnologia
Como identificar candidatos fraudulentos em processos seletivos.
Simon WijckmansResumo de Ataques Client-Side – T1 2025
A pesquisa da cside revelou quase 300.000 sites comprometidos no primeiro trimestre de 2025.
Simon WijckmansVikingCloud aprova o cside para os requisitos 6.4.3 e 11.6.1 do PCI DSS
O cside firmou parceria com a VikingCloud para realizar uma avaliação técnica aprofundada das soluções de segurança que oferecemos no plano enterprise dentro do escopo de conformidade com o PCI. Garantindo total tranquilidade de que, com uma implementação adequada dos nossos produtos, os requisitos 6.4.3 e 11.6.1 são atendidos.
Simon WijckmansExiste algum método "gratuito" para cumprir o PCI DSS 6.4.3 e 11.6.1?
A resposta curta: sem uma solução pronta, você teria que construir uma ferramenta de monitoramento própria que custaria significativamente mais em salários do que os custos de um fornecedor de solução pré-construída.
Simon WijckmansVocê precisa do PCI SSF ou do PCI DSS? Entenda a diferença
O PCI SSF é para o software, e o PCI DSS é para todo o resto. Vamos entender melhor.
Simon WijckmansVocê pode usar o Adyen para PCI DSS?
Sim, MAS dependendo da integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).
Simon WijckmansVocê pode usar o PayPal (Braintree) para PCI DSS?
Sim, MAS dependendo da integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).
Simon WijckmansVocê pode usar o Stripe para PCI DSS?
Sim, MAS dependendo da integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).
Simon WijckmansEvento BSidesSF e RSAC
Quando a cside está expondo, as afterparties estão na cidade! Organizadas por nós, Socket, Arcjet e Incident! Encontre nosso estande na BSidesSF (siga o laser), e estande 2438 na RSAC. Registre-se para 30 de abril Agende uma reunião Junte-se a nós para a melhor experiência de networking em cibersegurança no Rooftop de nosso investidor Uncork Capital em San Francisco! Organizados pela cside, Socket, Arcjet e Incident, esses eventos exclusivos reúnem mais de 250 profissionais de tecnologia, cibersegurança e BS
Simon WijckmansComo ser uma empresa PCI DSS SAQ A (6.4.3 e 11.6.1)
Uma frase gera debate. Como os sites carregam scripts dinamicamente, um script de qualquer página pode persistir até o checkout, potencialmente interferindo nos pagamentos. Scripts de terceiros, mesmo que não relacionados ou em páginas carregadas antes das páginas de pagamento, podem introduzir vulnerabilidades.
Simon WijckmansAtaque à Bybit: US$ 1,5 bilhão roubado via JavaScript malicioso
Os atacantes injetaram JavaScript malicioso na interface do site onde os funcionários da Bybit normalmente aprovam transações. Esse código malicioso estava oculto de tal forma que tudo parecia normal na tela — mas nos bastidores, ele alterava detalhes importantes.
Simon Wijckmanscside agora está em conformidade com o SOC2
Temos o orgulho de anunciar que nossa auditoria SOC2 tipo 2 foi aprovada com o mais alto grau de aprovação.
Simon WijckmansDesmistificando as atualizações de janeiro de 2025 do PCI DSS SAQ A
Uma explicação detalhada, com gráfico e guia completo sobre as mudanças referentes ao PCI DSS 4.0.1 - 6.4.3 e 11.6.1
Simon WijckmansRastreamento de afiliados e seus riscos de segurança cibernética
Agentes maliciosos frequentemente exploram pixels de rastreamento para injetar scripts prejudiciais em sites aparentemente normais.
Simon WijckmansPor que a Content Security Policy não funciona
A Content Security Policy (CSP) é um recurso de segurança fornecido pelos navegadores web que o proprietário de um site pode usar para definir um conjunto de regras que controlam quais recursos (por exemplo, scripts, estilos, imagens) podem ser carregados e executados pelo navegador. Chamamos isso de lado do cliente, que está no final da cadeia de fornecimento web. Quando configurada corretamente, ela ajuda a prevenir uma ampla gama de ataques. Mas essas primeiras três palavras fazem toda a diferença. Ela pode ajudar a prevenir: Cross-Site Scripting (XSS): Ao restri
Simon WijckmansRiscos de segurança e conformidade em marketplaces de anúncios
Para empresas que monetizam por meio de modelos de marketplace de anúncios, as redes de publicidade de terceiros, plataformas de analytics e scripts de marketing são indispensáveis. Eles são necessários para gerar receita, aumentar o engajamento e rastrear o comportamento dos usuários.
Simon WijckmansUm novo perigo dos Progressive Web Apps que poucos conhecem
O aumento na adoção de PWAs traz um aumento nos riscos de segurança do lado do cliente. E a indústria? Mal está falando sobre isso.
Simon WijckmansO ataque ao Polyfill[.]io - Muito mais do que um simples ataque de redirecionamento
Quando nós e outros veículos de notícias reportamos o ataque ao Polyfill, as reações foram surpreendentemente brandas. Isso pode ter ocorrido por conta do resultado visível: um simples redirecionamento para sites obscuros. Mas, como detalhamos em nosso post-mortem, as consequências potenciais são muito mais graves: "Aqui o agente malicioso optou por apenas redirecionar usuários para sites adultos e de apostas, porém algo muito pior poderia ter acontecido. Monitorar teclas digitadas em uma pequena porcentagem de sessões com base em geolocalização e hora do dia, injetar
Simon WijckmansComo extensões web podem prejudicar seu site (INFIRC[.]com e INFIRD[.]com)
Os domínios infirc[.]com e infird[.]com causaram bastante agitação recentemente e destacaram os perigos de extensões web infectadas ou mal
Simon WijckmansO Hack do Internet Archive: Como o JavaScript se encaixa no cenário
O Internet Archive, também conhecido como The Wayback Machine, sofreu uma violação de segurança ontem. Esta não foi a primeira vez que foi alv
Simon WijckmansOs maiores ataques Magecart da história (até agora)
De onde vem o termo "Magecart" Os ataques Magecart são um tipo de ciberataque onde hackers injetam código JavaScript malicioso, frequentemente r
Simon WijckmansNovos TTPs no Roubo de PII e Informações Financeiras em Sites Magento
Na cside, monitoramos ativamente ataques à cadeia de suprimentos no lado do cliente, com foco nas táticas, técnicas e procedimentos (TTPs) em constante evolução usados por agentes de ameaças. Um dos ataques mais comuns que observamos nos últimos meses é o direcionamento a sites de eCommerce construídos na plataforma Magento. Em particular, acompanhamos de perto o ataque Cosmic Sting (CVE-2024-34102), amplamente reportado, inclusive pela Sansec (https://sansec.io/research/cosmicsting). TTPs Recentes Obser
Simon WijckmansPor que os sites precisam de scripts de terceiros?
Ao desenvolver um site, você frequentemente incluirá bibliotecas para ajudar a acelerar o processo de desenvolvimento e evitar reinventar a roda. No entanto
Simon Wijckmanscside se torna Organização Participante Associada do PCI Security Standards Council
Temos o orgulho de anunciar que nos tornamos uma Organização Participante Associada do Payment Card Industry Security Standards Council (PCI SSC). O PCI SSC lidera um esforço global e multissetorial para aprimorar a segurança de pagamentos por meio do estabelecimento de padrões flexíveis de segurança de dados orientados pelo setor. Por meio da colaboração com outros líderes do setor, a missão do Conselho é proteger os dados de pagamento contra ameaças emergentes e atender às necessidades em constante evolução do ecossistema de pagamentos. Como Organização Participante Associada
Simon WijckmansCarlsberg é alvo de ataque de malware "CosmicSting" no Magento
O termo "Magecart" se refere a ataques na plataforma Magento. Recentemente, uma nova campanha em larga escala foi identificada visando sites Magento. Entre eles, o site da Carlsberg foi um dos comprometidos. O padrão desses ataques é quase sempre o mesmo. Uma única linha de JavaScript carrega conteúdo de um site remoto — ou seja, um script de terceiros. Esse código é então fortemente ofuscado para dificultar ainda mais a detecção. Neste caso, o processo de pagamento foi alterado silenciosamente. Um método de pagamento falso
Simon Wijckmanscside entra para o W3C
Temos o imenso orgulho de anunciar que nos juntamos ao Grupo de Trabalho de Segurança de Aplicações Web do W3C. A missão do Grupo de Trabalho de Segurança de Aplicações Web é desenvolver mecanismos e boas práticas para melhorar a segurança das aplicações web. Toda a nossa equipe tem atuado na área de cibersegurança há anos. Por meio da cside, buscamos agora aumentar a conscientização e elevar os padrões de segurança no lado do cliente. Ao unirmos forças, estamos um passo mais perto de alcançar ambos os nossos objetivos. Queremos agradecer publicamente ao W3C pelo convite para integrar seu grupo de trabalho, composto por diversos especialistas, empresas e instituições de pesquisa dedicadas a melhorar a segurança da web como um todo. É uma honra ser reconhecido entre esse grupo, que agora podemos chamar de nossos pares.
Simon WijckmansFeeds de ameaças falham em detectar ataque por mais de 2 anos
Neste site, podemos ver que o ataque está ativo desde agosto de 2022. Notificamos este e outros sites sobre o ataque.
Simon WijckmansPor que os desenvolvedores ofuscam JavaScript?
Como empresa de segurança client-side que protege JavaScript, vemos muitos scripts ofuscados. Ao usar nossa ferramenta, você pode visualizar a versão desofuscada dos scripts para entender o que eles estão fazendo. A desofuscação existe há algum tempo, mas por que o código é ofuscado em primeiro lugar? A ofuscação de JavaScript surgiu para proteger o código-fonte de aplicações web de ser facilmente compreendido, copiado ou explorado por usuários não autorizados. A ofuscação como conceito é anterior ao JavaScript e
Simon WijckmansTempo de inatividade não reportado e preocupações de segurança do ButterCMS
ButterCMS é uma ferramenta popular usada para gerenciar conteúdo de blogs. No início desta semana, notamos um incidente de segurança potencialmente grave que lev
Simon WijckmansA cside levanta uma rodada seed de $6 milhões
Temos muito orgulho em anunciar nossa rodada seed de $6 milhões, apenas seis meses após levantarmos nosso pré-seed de $1,7 milhão. Liderada pela Uncork Capital, com participação da Mantis e da PrimeSet. Também damos as boas-vindas novamente à Scribble VC e à Roar Ventures, que nos apoiaram no pré-seed. Junto com essa novidade, abrimos nosso plano gratuito para todos. Agora você pode se cadastrar e começar a usar a cside para monitorar, proteger e otimizar scripts de terceiros. Fundamos a cside para colocar a segurança do lado do cliente no mapa. Para t
Simon WijckmansCside selecionada para o TechCrunch Disrupt Startup Battlefield 2024
Temos muito orgulho em anunciar que fomos selecionados para o TechCrunch Disrupt Startup Battlefield em 2024. Os participantes do Startup Battlefield deste ano abrangem inteligência artificial (IA), software como serviço (SaaS), fintech, segurança, sustentabilidade, exploração espacial e muito mais. De milhares de startups, apenas 200 são escolhidas, e estamos extremamente felizes em fazer parte desse grupo seleto. Mal podemos esperar para apresentar nosso produto ao mundo, de 28 a 30 de outubro, no Moscone West em San F
Simon WijckmansComo acelerar JavaScript
As taxas de conversão estão correlacionadas com a velocidade de carregamento do site. Mas sites de e-commerce têm muito JavaScript que deixa as coisas mais lentas... a solução está aqui.
Simon WijckmansO que são skimmers digitais?
Recentemente, soubemos de uma nova e significativa campanha de ciberataque que teve como alvo centenas de lojas online, explorando vulnerabilidades em scripts e plugins de terceiros. Este é um exemplo perfeito de um 'skimmer digital'. Skimmers digitais são trechos de código injetados maliciosamente em sites legítimos. Eles visam informações pessoais e de cartão de crédito. Esse problema está em crescimento e é parte do motivo pelo qual o cside foi criado. Nosso proxy é capaz de detectar esse código malicioso e impedir que ele afete
Simon WijckmansPor que os navegadores estão se tornando cada vez mais perigosos
Tecnologias como WebAssembly (WASM), WebGPU e IndexedDB transformaram o que os navegadores podem realizar. Esta evolução expandiu a func
Simon WijckmansO verdadeiro custo de um ataque cibernético
Calcular o verdadeiro custo de um ataque cibernético é difícil. Nenhum é igual. No entanto, relatamos isso com o máximo de detalhes possível para representar com precisão o quadro completo de quando isso acontece com sua empresa.
Simon WijckmansTuaw é um golpe em formação?
Quando vimos o novo vídeo do Fireship ontem, lembramos imediatamente do recente ataque Polyfill. Nosso primeiro artigo foi citado e
Simon WijckmansO ataque event-stream ao Copay ilustra os riscos de dependências
O ecossistema JavaScript sofreu um grande impacto com um ataque sofisticado ao Copay, um popular provedor de carteira de criptomoedas, em novembro de 2018. Conhecido como o ataque event-stream, esse incidente evidenciou as vulnerabilidades críticas associadas à dependência de pacotes de terceiros no desenvolvimento de software. O Copay é atualmente conhecido como Bitpay Wallet. Entendendo o ataque O event-stream, um pacote npm bastante popular, era amplamente utilizado por inúmeros projetos para gerenciar fluxos de dados de forma eficiente
Simon WijckmansO ataque cibernético à Segway explicado
Em janeiro de 2022, a loja virtual da Segway sofreu um ataque à cadeia de fornecimento web — também conhecido como ataque Magecart. Nesse tipo de ataque, código JavaScript malicioso é inserido e carregado pelo lado do cliente, por meio dos chamados scripts de terceiros. Muitas ferramentas comuns funcionam como scripts de terceiros, como ferramentas de analytics, captchas e muito mais. Mas esse caminho também pode ser explorado para fins maliciosos, como foi o caso aqui. Neste ataque à Segway, a loja estava configurada no Magento. Os atacantes exploraram vulnera
Simon WijckmansNão implante scripts em todo o site
Scripts de terceiros são frequentemente implantados em todo o site, geralmente injetados nas tags head em frameworks web como Next.js por meio do arquivo '_document.js'. Essa implementação ampla, embora conveniente para desenvolvedores e muitas vezes recomendada pelos guias de integração, faz com que esses scripts sejam executados em todo o site. É mais simples de implementar, mas também introduz riscos de segurança e problemas de desempenho que costumam ser ignorados. O recente vazamento de dados da Kaiser Permanente mostra os perigos de ter scripts de terceiros mal gerenciados
Simon WijckmansO que é um vetor de ataque e quais são os vetores ocultos
Um vetor de ataque em cibersegurança é o caminho que um invasor utiliza para explorar vulnerabilidades de segurança. Alguns são mais obscuros do que outros. Um que tem sido nosso foco é o JavaScript de terceiros. Como esses scripts são instalados pelo proprietário do site, mas executados nos navegadores dos visitantes, eles ocupam uma posição única. Se algo malicioso ocorrer dentro desses scripts, nenhuma das partes fica ciente. O visitante é afetado e o proprietário do site se torna responsável. Já vimos isso acontecer muitas vezes, por exemplo, a
Simon WijckmansComo domínios expirados levam a ataques cibernéticos
Como Domínios Expirados Levam a Ataques de Segurança Cibernética Em 2018, a British Airways foi atacada através da exploração de um pacote JavaScript
Simon WijckmansO ataque Polyfill explicado
Um arquivo JavaScript adulterado injetado pelo domínio polyfill[.]io redirecionou uma porcentagem de usuários para sites adultos e de apostas com base em seu User-Agent. Um usuário japonês do X, "piyokango", foi provavelmente o primeiro a relatar seu ataque em 24 de junho.
Simon WijckmansO que é a cadeia de fornecimento do navegador?
O cside é um produto de cibersegurança que atua no espaço da cadeia de fornecimento do navegador. Nós e outros fornecedores que operam aqui gostamos de falar sobre essa cadeia de fornecimento. Mas o que exatamente queremos dizer com isso? A cadeia de fornecimento do navegador é a combinação de componentes e processos que se unem para renderizar páginas web, executar scripts e garantir um funcionamento fluido. Essa cadeia inclui tudo, desde a requisição inicial de uma página web até a renderização final dessa página no navegador do usuário. Assim como comportamentos dinâmicos que ocorrem após o site ser renderizado.
Simon WijckmansMais de 490 mil sites alvos de ataque à cadeia de suprimentos web
O domínio cdn.polyfill.io está sendo usado atualmente em um ataque à cadeia de suprimentos web. Ele costumava hospedar um serviço para adicionar polyfills JavaScript
Simon WijckmansO Ataque à Cadeia de Suprimentos BrowseAloud: Um Estudo de Caso em Cryptojacking
Este ataque afetou mais de 4.000 sites, incluindo sites governamentais e educacionais, expondo milhares de usuários ao cryptojacking sem o seu conhecimento.
Simon WijckmansO Risco da Cadeia de Suprimentos Não Termina no NPM
Ao verificar apenas o NPM (ou outro registro), você não está protegido contra ataques através de scripts de terceiros.
Simon WijckmansDéjà Vu na Violação de Dados da Ticketmaster: O Que Você Precisa Saber
Ontem, em 29 de maio de 2024, veio à tona a notícia de uma suposta violação de dados envolvendo a Ticketmaster, uma das principais empresas de venda e distribuição de ingressos. A Ticketmaster confirmou atividade não autorizada em um ambiente de banco de dados em nuvem de terceiros, alegando que as informações pessoais de mais de 500 milhões de clientes foram expostas. A violação inclui dados sensíveis como e-mails, números de telefone, endereços e informações financeiras. O ShinyHunters, um atacante notório, republicou os dados da violação. De acordo com os relatos,
Simon WijckmansVazamento de Dados da Kaiser Permanente: Um Caso de Falha de Comunicação e Divulgação Inadequada
Em 29 de abril, a gigante da saúde Kaiser Permanente divulgou um vazamento de dados que afetou 13,4 milhões de membros atuais e antigos do plano de saúde. O incidente teve origem no gerenciamento inadequado de scripts de terceiros. O Incidente A Kaiser Permanente utilizava códigos de rastreamento para monitorar como seus membros navegavam pelo site e pelos aplicativos móveis. Algumas dessas páginas continham dados de saúde sensíveis, fazendo com que os scripts de terceiros transmitissem inadvertidamente informações a fornecedores terceiros que não deveriam tê-las
Simon WijckmansFeeds de Ameaças na Era da IA
A ideia por trás dos feeds de ameaças é válida. Mas, podemos dizer que já passou do seu auge. E com o nível tecnológico atual, existem opções melhores. Feeds de ameaças são (frequentemente) uma lista de informações de segurança geradas pela comunidade. Quando alguém identifica uma vulnerabilidade, publica manualmente um aviso no feed. Esse aviso é então captado e exibido no feed, onde profissionais de segurança nas suas respectivas empresas o leem e verificam seus próprios sistemas para saber se estão suscetíveis a possíveis riscos.
Simon WijckmansA Vulnerabilidade do cdnjs em 2021 em Detalhes
Verificar se as fontes de scripts de terceiros são confiáveis é importante. Mas só isso pode não ser suficiente. Foi o que o mundo aprendeu em 2021, quando uma enorme vulnerabilidade no cdnjs da Cloudflare foi descoberta. Aqui está um resumo do que aconteceu e como. O cdnjs é uma das Redes de Distribuição de Conteúdo (CDNs) JavaScript mais utilizadas atualmente. Mais de 12% de todos os sites na internet injetam pelo menos um script via cdnjs. Um pesquisador com o apelido 'RyotaK' divulgou uma vulnerabilidade na cadeia de
Simon WijckmansO risco de proteger apenas seus portais de pagamento contra ataques de JavaScript de terceiros
O PCI DSS 4.0 chegou. A partir de março de 2025, ele exige que os portais de pagamento tenham uma forma de autorizar cada script nas páginas de pagamento. Os sites precisam manter um inventário de todos os scripts (pelo menos nesses portais de pagamento) e garantir sua integridade. Agora é necessário detectar e responder a modificações não autorizadas nas páginas de pagamento, incluindo alterações em cabeçalhos HTTP e no conteúdo das páginas. As organizações devem verificar essas configurações pelo menos uma vez a cada sete dias ou conforme determinado por sua análise de risco.
Simon WijckmansGuia completo e etapas do PCI DSS 4.0.1
Guia completo e etapas do PCI DSS 4.0 O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de diretrizes que garante a segurança
Simon Wijckmans