Blog Axur | Digital Risk Protection

Buckets Amazon S3 estão cheios de dados sensíveis expostos

Escrito por André Luiz R. Silva | Nov 8, 2019 1:52:21 PM

Lá em 2006, quando o Amazon S3 (Simple Storage Service) foi criado, uma mudança indiscutível aconteceu no mercado de TI: surgiu uma forma super simples de hospedar e acessar objetos corporativos na internet. Passados 13 anos, o serviço é utilizado massivamente – desde pequenas empresas a gigantes como Apple e Dropbox. 

É por isso que os itens “segurança, compliance e capacidades de auditoria incomparáveis” logo se destacam no site do serviço. Por proteção, todos os dados precisam estar em repositórios seguros e, quando sensíveis, devidamente criptografados e monitorados. Os recursos de proteção estão disponíveis, só que infelizmente ainda não foi criada uma tecnologia capaz de evitar erros humanos e falhas de configuração.

Em junho deste ano, pesquisadores encontraram um bucket de 1 TB de arquivos afetando Netflix, Ford e TD-Bank (composto principalmente por backups de e-mail). O local pertencia à empresa de gerenciamento de dados Attunity. Mas, em uma era de estar compliant com LGPD e GDPR, a responsabilidade desse tipo problema é somente do parceiro? E como se deve agir nessas horas?

 

Amazon S3 e buckets de armazenamento: as questões


Apesar de ser o mais popular, o Amazon S3 não é o único serviço de buckets por aí – o Microsoft Azure e o Google Cloud Storage também têm as mesmas capacidades. Eles são amplamente utilizados por uma simples razão: nenhuma empresa quer ter salas lotadas de computadores só para dados como à moda antiga. Além disso, esses sistemas têm um baixo custo, são muito escaláveis e garantem altíssima disponibilidade. 

Para entender como é simples o serviço, é só ver como fica a página de um bucket em formato XML, que serve de “árvore” para os links de arquivos:

Esse é um bucket público encontrado pela Axur, com imagens de assinaturas, documentos, pastas de Marketing e outras informações de uma empresa – e, ainda, menções a outras empresas e marcas

Essa é só uma pequena demonstração do que se armazena por lá, claro. Também são confiados nesses locais outros tipos de dados que, apesar de aparentemente menos relevantes e não representarem "vazamento de informações", podem fornecer informações valiosas sobre o ambiente interno de uma empresa se juntos a outros dados.

Em mãos erradas, esses arquivos podem gerar enormes prejuízos. Em sua configuração padrão, os buckets S3 são direcionados para serem fechados, mas muitos são tornados públicos por duas principais razões: (1) descuido e falta de atenção; ou (2) a crença de que a URL jamais será encontrada.

 

Vazamentos provocados por fornecedores terceirizados


Se você tem uma empresa e está lendo este artigo certamente deve pensar que precisa se certificar de que seus dados (ou mesmo buckets) estejam devidamente protegidos. 

Casos como o da Attunity e do exemplo acima mostram que ainda que nosso ambiente esteja protegido, é comum que empresas terceiras manipulem nossos dados ou possuam acesso a nossas informações. Por isso, é necessário aumentar a superfície de detecção para identificar possíveis exposições de dados além dos serviços que nós controlamos.

Um total de 70% das pequenas e médias empresas não possuem conhecimento completo sobre as aplicações de terceiros que utilizam ou sobre como e onde estes armazenam suas informações. E pelo menos 55% correlacionam as causas de vazamento de seus dados ao descuido gerado por fornecedores e terceiros.

Com a LGPD, a GDPR e a avalanche de regulamentações (nacionais e internacionais) sobre dados que ainda estão por vir, mesmo quem se descuida por confiar no parceiro errado pode receber multas milionárias do governo. 


Como tratar buckets abertos

É possível solicitar junto à Amazon a remoção de buckets que expõem informações de sua empresa. Mas a cautela deve vir antes de qualquer ação. Os buckets de terceiros que estão abertos podem conter arquivos importantes para o funcionamento de um produto ou serviço que podem ficar comprometidos se tirados do ar. Não seria à toa que você os utiliza, afinal.

Por isso, tente antes contatar o responsável pelo bucket para que feche o local e não cause mais prejuízos. Quando se trata de empresas, o compliance e o gerenciamento de riscos são coisas sérias – e devem ter como principais marcas a avaliação e o monitoramento constantes.

Em um mundo cada vez mais digital é importante ter consciência e controle sobre o que acontece com seus dados. Como muitos buckets são abertos mas não indexados (acessíveis somente pela URL, sem link), algumas ferramentas robustas de monitoramento podem ser essenciais.

Os produtos da Axur podem auxiliar você na hora de monitorar tudo aquilo que acontece fora do perímetro da sua empresa (como é o caso dos buckets – seus e de terceiros). Conheça o monitoramento de Threat Intelligence da Axur e veja como essa solução pode ajudá-lo com os buckets.

 

Especialista convidada_

Luísa Rosa

Formada em Information Systems e Operations Management na Universidade de Utah, Luísa é analista do time de Threat Intelligence da Axur detectando, analisando e combatendo ameaças digitais em deep e dark web.