19,6 Bilhões de Arquivos Expostos em 535.000 Buckets de Nuvem Abertos

19,6 Bilhões de Arquivos Expostos em 535.000 Buckets de Nuvem Abertos

Um novo relatório da Mysterium VPN revelou um número impressionante sobre um problema que os pesquisadores de segurança vêm alertando há anos: 19,6 bilhões de arquivos estão abertamente acessíveis na internet neste momento, armazenados em mais de 535.000 buckets de armazenamento em nuvem mal configurados que não exigem senha, nem autenticação, nem habilidade de hacking para serem acessados. Entre esses arquivos, estão quase 700.000 arquivos de credenciais e chaves que poderiam dar a um invasor acesso direto a sistemas ativos, bancos de dados e infraestrutura interna.

Isto não é uma violação no sentido tradicional. Ninguém precisou explorar uma vulnerabilidade ou interceptar o tráfego de rede. Os dados estão simplesmente abertos, uma consequência de configurações de armazenamento em nuvem definidas incorretamente e deixadas dessa forma.

Escala da Exposição: 19,6 Bilhões de Arquivos, Zero Senhas

O volume absoluto de dados expostos é difícil de contextualizar. Com 19,6 bilhões de arquivos espalhados por mais de meio milhão de buckets de armazenamento, isso representa um dos maiores casos documentados de exposição de buckets de armazenamento em nuvem mal configurados já catalogados. Esses buckets abrangem plataformas de nuvem onde organizações de todos os tamanhos, de desenvolvedores solo a grandes empresas, armazenam dados de aplicativos, backups, registros e documentos confidenciais.

O armazenamento em nuvem mal configurado não é um problema novo, mas a escala relatada aqui sugere que está longe de ser resolvido. Configurações padrão, implantações apressadas e lacunas no conhecimento de segurança na nuvem contribuem para que os buckets permaneçam publicamente legíveis. Em muitos casos, as organizações responsáveis podem nem saber que seus dados estão expostos.

Isso reflete padrões vistos em outros incidentes de grande repercussão. Um painel de análise mal configurado na FTF Live recentemente deixou mais de 22 milhões de registros de sessões de chat por vídeo abertamente acessíveis, ilustrando como um único descuido de infraestrutura pode expor dados confidenciais em grande escala sem que nenhum ataque ativo ocorra.

Por que Arquivos de Credenciais e Chaves São o Vazamento Mais Perigoso

Dos 19,6 bilhões de arquivos expostos, os quase 700.000 arquivos de credenciais e chaves representam a categoria de maior risco por ampla margem. Esses arquivos geralmente contêm chaves de API, senhas de banco de dados, chaves criptográficas privadas, credenciais SSH e tokens de acesso de provedores de nuvem.

Quando um invasor encontra um arquivo de credencial em um bucket aberto, ele não precisa fazer nada tecnicamente sofisticado em seguida. Ele pode pegar essas credenciais e autenticar-se diretamente nos sistemas que protegem. Isso pode significar acesso de leitura e gravação a um banco de dados de produção, a capacidade de iniciar infraestrutura em nuvem na conta de outra pessoa ou a entrada em sistemas internos que, de outra forma, estariam completamente fora do alcance.

Despejos de banco de dados representam um risco separado, mas igualmente sério. Esses arquivos geralmente contêm registros de usuários, senhas em hash ou em texto claro, informações pessoais e dados de transações. Um dump de banco de dados de um prestador de serviços de saúde, uma plataforma financeira ou um site de comércio eletrônico pode conter tudo o que um invasor precisa para realizar roubo de identidade, tomada de conta ou extorsão.

Como Configurações Incorretas na Nuvem Contornam Até Redes Protegidas por VPN

Um dos aspectos mais contraintuitivos desse tipo de exposição é que ela contorna muitos dos controles de segurança nos quais as organizações confiam. VPNs, firewalls e controles de acesso à rede são projetados para proteger o tráfego que se move entre sistemas. Mas, quando os dados estão armazenados em um bucket de nuvem pública, eles não estão trafegando por essas redes protegidas. Eles estão em um local que qualquer pessoa com conexão à internet pode alcançar.

Isso significa que um invasor em outro país, sem acesso à rede corporativa e sem capacidade de contornar um firewall, ainda pode recuperar o conteúdo de um bucket exposto navegando diretamente para sua URL pública. Os dados existem efetivamente fora do perímetro que a maioria das ferramentas de segurança organizacional foi projetada para defender.

É por isso que a exposição de buckets de armazenamento em nuvem mal configurados se tornou um dos caminhos mais eficientes para a coleta de dados por agentes de ameaças. Não há ataque a detectar, nenhum tráfego incomum a sinalizar e nenhuma intrusão a investigar. Da perspectiva da infraestrutura, alguém lendo um bucket aberto parece idêntico ao tráfego rotineiro.

O Que Organizações e Indivíduos Podem Fazer Agora

Para organizações que gerenciam armazenamento em nuvem, o passo mais urgente é uma auditoria de permissões. Cada bucket de armazenamento deve ser revisado para confirmar que não está configurado para acesso público, a menos que haja um motivo deliberado e documentado para isso. Os principais provedores de nuvem, incluindo AWS, Google Cloud e Azure, oferecem ferramentas para identificar buckets com controles de acesso excessivamente permissivos, e alguns agora fornecem configurações em nível de conta para bloquear todo acesso público por padrão.

Além das permissões, a higiene das credenciais é extremamente importante. Arquivos de credenciais e chaves nunca devem ser armazenados em buckets de armazenamento em nuvem, em nenhuma circunstância. Existem ferramentas de gerenciamento de segredos projetadas especificamente para lidar com chaves de API, tokens e credenciais de forma segura, mantendo-os totalmente fora do armazenamento de arquivos.

Para indivíduos, o risco está menos no que você controla e mais no que as organizações que detêm seus dados controlam. As medidas práticas são conhecidas: use senhas únicas e fortes para cada conta, para que um vazamento de credenciais de um serviço não desbloqueie os outros; ative a autenticação multifator sempre que for oferecida; e monitore as contas em busca de atividades incomuns.

As descobertas da Mysterium VPN são um lembrete de que alguns dos riscos mais significativos de segurança de dados não envolvem ataques sofisticados. Eles envolvem descuidos administrativos comuns que passam despercebidos por meses ou anos. Auditar a higiene do armazenamento em nuvem não é um trabalho glamouroso, mas, na escala que este relatório descreve, é um dos trabalhos de segurança mais importantes que uma organização pode fazer agora.