Milhares de arquivos confidenciais estão desprotegidos na nuvem da Amazon

O Amazon S3 é um serviço de armazenamento na nuvem. Ele fornece uma infraestrutura que pode ser utilizada — através da web — para se armazenar qualquer tipo de conteúdo, a qualquer momento, de qualquer local do mundo. Diversas companhias utilizam esse sistema para hospedar dados particulares, como backups de bancos de dados e outros documentos.

Os dados armazenados no Amazon S3 são organizados em “buckets”, e cada um deles recebe uma URL específica. Ao serem criados, esses buckets são definidos como privados por padrão, mas podem se tornar públicos se o proprietário assim quiser.

Testando a segurança dos arquivos

O especialista em segurança, Will Vandevanter, da Net Security, decidiu testar o Amazon S3 para ver o que conseguiria encontrar nos buckets públicos. Durante os testes, ele descobriu 12.328 buckets diferentes, dos quais 1.951 eram públicos.

Desses 1.951 buckets públicos, Vandevanter conseguiu gerar uma lista de cerca de 126 bilhões de arquivos. Como examinar todos esses arquivos independentemente seria absurdo devido à grande quantidade, o pesquisador escolheu 40 mil documentos e descobriu itens muito interessantes entre eles:

  • Dados pessoais e fotos de participantes de uma rede social “de tamanho médio”;
  • Registros de vendas e informações particulares de uma grande revenda de automóveis;
  • Dados de monitoramento, taxas de cliques e as informações de contas dos clientes de uma empresa de publicidade;
  • Informações pessoais e listas de membros em um grande número de planilhas diferentes;
  • Backups desprotegidos de bancos de dados contendo informações dos sites e senhas criptografadas;
  • Código fonte e ferramentas de desenvolvimento de uma desenvolvedora de games móveis;
  • Código fonte PHP, incluindo arquivos de configuração que contêm nomes de usuários e senhas;
  • Vendas de “battlecards” para um fornecedor de software de grande porte.

A culpa não é da Amazon

É importante lembrar que esses arquivos só puderam ser encontrados porque os seus proprietários alteraram a configuração de privado para público, seja por vontade própria ou simples descuido na hora da configuração do armazenamento.

A Amazon está tratando a pesquisa de Vandervanter com caráter total de urgência e começou alertando todos os seus usuários de que os seus arquivos podem ser de acesso público. A empresa já colocou em prática medidas para identificar arquivos mal configurados para tentar aumentar a segurança do sistema.

Mesmo assim, é difícil para a Amazon garantir a segurança dos dados quando os próprios proprietários dos documentos negligenciam essa parte.

Milhares de arquivos confidenciais estão desprotegidos na nuvem da Amazon.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *