Os buckets S3 da AWS configurados incorretamente estão expondo grandes quantidades de dados corporativos confidenciais, informa a empresa norte-americana Truffle Security. Uma varredura feita pela empresa foi capaz de identificar 4.000 buckets S3 configurados incorretamente, contendo informações privadas como credenciais de login, chaves de segurança e chaves API – as quais poderiam ser usadas para executar ataques cibernéticos secundários no proprietário do bucket.
Conforme publicação no blog da empresa, a configuração incorreta de instâncias em nuvem é cada vez mais comum, apesar dos esforços da AWS, e empresas de todos os tamanhos são culpadas. Os proprietários dos milhares de buckets inseguros S3 descobertos pela Truffle pertencem a variadas empresas, entre as quais há desde gigantes da lista Fortune 500 até organizações de caridade e microempresas.
Veja isso
Senadores americanos questionam papel da AWS em incidente
AWS: mau gerenciamento faz 71% das violações
O aspecto mais preocupante da falha em proteger o armazenamento na nuvem, alerta a Truffle, é a possibilidade de novos ataques cibernéticos, depois que as informações são extraídas por hackers do bucket S3 exposto. Em outras palavras, o bucket pode ser o início de uma trilha que leva os hackers à invasão das redes corporativas.
“É razoável supor que os buckets autenticados contenham mais segredos do que os não-autenticados. Isso significa que os atacantes provavelmente podem usar a primeira rodada de buckets (não-autenticados) para encontrar as chaves que desbloqueiam uma rodada adicional de buckets”, alerta a Truffle Security.
O blog explica que “não usamos nenhuma dessas chaves ou exploramos essa possibilidade por razões óbvias, mas isso torna esse tipo de ataque ‘desagradável’, ou seja, um armazenamento pode levar a outro, e assim por diante, aumentando o impacto do vazamento.”
A Truffle Security ainda está no processo de alertar as empresas cujos buckets S3 estão configurados incorretamente e expostos, ao mesmo tempo em que comunicará o problema à AWS quando o gestor do bucket não puder ser localizado.