2,3 bilhões de arquivos vazam na internet em 2018

Virojt Changyencham/Getty Images
Dados de cartões de crédito e informações médicas ficaram expostos

Resumo:

  • Dados de cartão de crédito, informações médicas e patentes de propriedade intelectual foram descobertos em serviços de nuvem;
  • O número de arquivos médicos vazados foi maior do que em 2018;
  • A plataforma Theta360 foi responsável pelo vazamento das fotos.

Uma pesquisa publicada recentemente descobriu que 2,3 bilhões de arquivos foram expostos online. Os documentos, que incluem dados de cartão de crédito e informações médicas, bem como patentes de propriedade intelectual, foram descobertos pelos pesquisadores da Digital Shadows em toda nuvem, armazenamento conectado à rede e servidores da empresa. Em paralelo, outros pesquisadores especializados em segurança descobriram uma vulnerabilidade em um serviço de compartilhamento de fotos, responsável por vazar pelo menos 11 milhões de imagens, sendo muitas delas categorizadas como privadas.

LEIA MAIS: Acredite, seu iPhone o espiona: saiba como pará-lo 

Como 2,3 bilhões de arquivos foram expostos?

O último relatório Too Much Information, do Photon Research Team, da Digital Shadows, descobriu que cerca de 2,3 bilhões de arquivos foram “expostos em compartilhamentos de arquivos habilitados para SMB, dispositivos de armazenamento conectados à rede (NAS) mal configurados, FTP e servidores rsync e buckets do Amazon S3”. São vário serviços em nuvem, armazenamento e servidores de pequenas e médias empresas que estão vazando os dados. O volume totaliza 750 milhões de arquivos a mais do que os mesmos pesquisadores descobriram ter vazado no ano anterior.

Embora os especialistas admitam que nem todos os arquivos eram de natureza sensível ou confidencial, muitos deles eram. Entre os bilhões de dados, acessíveis tanto aos pesquisadores quanto aos hackers, estavam coisas como dados médicos, incluindo milhões de raios-x, detalhes de cartão de crédito, informações de folhas de pagamento e patentes de propriedade intelectual. Tudo armazenado junto com o material menos sensível em servidores na nuvem e de rede mal configurados. Os pesquisadores também encontraram 17 milhões de arquivos criptografados por ransomware, sistema de “sequestro” de dados, o que é comum já que arquivos assim se tornam alvos fáceis para hackers.

Qual o problema?

O fator comum entre esses arquivos expostos é o erro de configuração. Então, o que está errado? E por que as falhas de configuração ainda são um problema quando se pensa que adotar a segurança correta seria a prioridade das empresas e provedores de serviços? Mais importante, o que pode ser feito para corrigir essa situação?

Em um primeiro momento, o relatório não é uma notícia ruim, já que o número de arquivos vazados por buckets do S3 (recursos de armazenamento em nuvem pública) caíram de 16 milhões no ano passado para alguns milhares agora. Isso pode ser largamente atribuído à Amazon, que introduziu um recurso de acesso público a blocos que impede que qualquer configuração que permita o acesso público aos dados seja aplicada. No entanto, isso obviamente não está prejudicando o quadro geral apresentado pelos números da pesquisa. Com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) agora em pleno andamento, este é um problema que precisa desaparecer ou que custará muito caro, em breve, para as organizações envolvidas.

A versão do setor de segurança

No grupo online The Beer Farmers, formado por chefes de segurança de empresas e pesquisadores do assunto, algumas discussões vieram à tona.

Chrissy Morgan, consultora técnica de negócios e segurança, ficou preocupada com o fato de que 4,7 milhões de arquivos relacionados à medicina foram expostos on-line, o dobro do ano anterior. “Mais financiamento deve ser dado para a educação e apoio aos departamentos de TI do setor médico para ajudar na implementação da configuração adequada”, disse ela. Ian Thornton-Trump, chefe de segurança AMTrust Europe, empresa de segurança financeira, concordou. “Isso é indicativo da lacuna de habilidades de segurança na nuvem e da falta de melhoria do investimento pelas empresas. Além disso, a mudança para o DevOps e a quantidade de Shadow IT nas empresas também fazem parte do problema.”. O CEO da Groupware Technology, Mike Thompson, usou exemplos dos buckets do Amazon S3 para destacar que “as políticas de segurança padrão são todas negativas, então você realmente precisa conhecer o risco você mesmo”.

VEJA TAMBÉM: Google investirá € 600 mi em centro de dados na Finlândia 

Mas aí está o problema. De um modo geral, quando se trata de armazenamento online, “é fácil fazê-lo funcionar, mas funcionar com segurança é difícil”, diz o hacker ético John Opdenakker, “especialmente se você não sabe o que está fazendo”. Thompson concorda que a suposição de muitos de que o provedor de serviços de nuvem aplicará todos os controles de segurança necessários é preocupante e imprecisa. “As empresas precisam aplicar esses controles e também garantir que os testes adequados sejam realizados”, diz ele, “bem antes de entrar em produção”. Ou, como diz Opdenakker, “é por isso que é tão importante introduzir a segurança no ciclo de vida do software desde o início e ter lastro suficiente para testar configurações com recursos de segurança habilitados”.

O que leva a discussão para o cerne da questão: para proteger sua infraestrutura, você precisa conhecer seus recursos. “Muitas empresas não têm gerenciamento de ativos”, diz Opdenakker, concluindo que isso está fadado a dar errado, mais cedo ou mais tarde.

As 11 milhões de fotos vazadas

Este vazamento específico foi descoberto pela equipe de pesquisa do vpnMentor, composta por Noam Rotem e Ran Locar. Chamando isso de “enorme vazamento de dados”, os pesquisadores descobriram uma vulnerabilidade na plataforma de compartilhamento de fotos Theta360, operada pela gigante japonesa de imagens Ricoh. Ao descobrir que eles poderiam acessar “mais de 11 milhões de mensagens não criptografadas do banco de dados da Theta360”, os pesquisadores inseriram as informações do UUID (Universal Unique Identifier) ​​no banco de dados Elasticsearch e descobriram que isso lhes dava acesso a qualquer foto exposta. Além de poder conectar os nomes de usuários no banco de dados às suas contas de mídia social, em alguns casos eles também descobriram que podiam acessar fotos de contas sinalizadas como “privadas” e públicas.

A equipe de pesquisa foi rápida em apontar que examinou os dados, mas não fez o download do banco de dados, de modo a manter seus padrões éticos de hackers. No entanto, essas contas privadas e não-listadas podem ser encontradas, deixando em aberto o espectro de possíveis consequências que mudam a vida de usuários cujas “fotos ilícitas” podem ter sido reveladas. “Em algumas profissões, isso pode custar ao usuário seu emprego”, aponta o relatório da vpnMentor. “Para outros, fotos vazadas podem compartilhar informações sobre assuntos ou mesmo férias que precisam permanecer secretas. Tags de localização podem, facilmente, revelar informações confidenciais sobre um usuário.”

A boa notícia é a rapidez com que o Theta360 respondeu à descoberta da vulnerabilidade. A empresa foi informada em 15 de maio e o vazamento foi encerrado no dia seguinte. “Queremos destacar que a resposta da empresa foi mais profissional do que qualquer outra companhia que contatamos sobre um vazamento”, diz o relatório.

Siga FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil ([email protected]).