Milhares de arquivos confidenciais estão desprotegidos na nuvem da Amazon

2 min de leitura
Imagem de: Milhares de arquivos confidenciais estão desprotegidos na nuvem da Amazon

(Fonte da imagem: iStock)

O Amazon S3 é um serviço de armazenamento na nuvem, o qual fornece uma infraestrutura que pode ser utilizada — através da web — para se armazenar qualquer tipo de conteúdo, a qualquer momento, de qualquer local do mundo. Diversas companhias utilizam esse sistema para hospedar informações particulares, como backups de bancos de dados e outros documentos.

Os dados armazenados no Amazon S3 são organizados em “buckets”, e cada um deles recebe uma URL específica. Ao serem criados, esses buckets são definidos como privados por padrão, mas podem se tornar públicos se o proprietário assim quiser.

Testando a segurança dos arquivos

O especialista em segurança Will Vandevanter, da Net Security, decidiu testar o Amazon S3 para ver o que conseguiria encontrar nos buckets públicos. Durante os testes, ele descobriu 12.328 buckets diferentes, dos quais 1.951 eram públicos.

Desses 1.951 buckets públicos, Vandevanter conseguiu gerar uma lista de cerca de 126 bilhões de arquivos. Como examinar todos esses dados independentemente seria absurdo devido à grande quantidade, o pesquisador escolheu 40 mil documentos e descobriu itens muito interessantes entre eles:

  • Dados pessoais e fotos de participantes de uma rede social “de tamanho médio”;
  • Registros de vendas e informações particulares de uma grande revenda de automóveis;
  • Dados de monitoramento, taxas de cliques e as informações de contas dos clientes de uma empresa de publicidade;
  • Informações pessoais e listas de membros em um grande número de planilhas diferentes;
  • Backups desprotegidos de bancos de dados contendo informações dos sites e senhas criptografadas;
  • Código-fonte e ferramentas de desenvolvimento de uma desenvolvedora de games móveis;
  • Código-fonte PHP, incluindo arquivos de configuração que contêm nomes de usuários e senhas;
  • Vendas de “battlecards” para um fornecedor de software de grande porte.

A culpa não é da Amazon

    É importante lembrar que esses arquivos só puderam ser encontrados porque os seus proprietários alteraram a configuração de privado para público, seja por vontade própria ou simples descuido na hora da configuração do armazenamento.

    A Amazon está tratando a pesquisa de Vandervanter com caráter total de urgência e começou alertando todos os seus usuários que os seus arquivos podem ser de acesso público. A empresa já colocou em prática medidas para identificar arquivos mal configurados para tentar aumentar a segurança do sistema.

    Mesmo assim, é difícil para a Amazon garantir a segurança dos dados quando os próprios proprietários dos documentos negligenciam essa parte.

    Atualização

    De acordo com a Amazon, essa não é uma vulnerabilidade no Amazon S3. O Amazon S3 oferece mecanismos de autenticação para proteger os dados armazenados contra acesso não autorizado. A menos que o cliente especifique o contrário, apenas o titular da conta AWS pode acessar os dados enviados para o Amazon S3.

    Existem razões para que o cliente deseje compartilhar informações com os outros e o S3 oferece mecanismos para isso. A AWS também fornece instruções claras, bem como orientações de segurança sobre como os clientes devem compartilhar os seus arquivos com segurança.

    A Amazon garante que já publicou diversos artigos encorajando os usuários do S3 a seguirem as normas de segurança para o compartilhamento de arquivos. A equipe de suporte AWS regularmente procura por clientes que possam ter problemas com a configuração da sua conta, para auxiliá-los a conseguir uma melhor eficiência, redução de custos ou, em alguns casos, remediar a sua configuração de segurança no S3 ou outros serviços.

    Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.