4TB SQL Server da EY exposto

4TB SQL Server da EY exposto . Exposição de dados EY: backup do SQL Server de 4 TB encontrado acessível publicamente no Azure.

A Ernst & Young, uma das quatro maiores empresas de contabilidade, inadvertidamente expôs um enorme arquivo de backup do SQL Server de 4 terabytes no Microsoft Azure, um erro de configuração que poderia ter fornecido aos invasores acesso a registros financeiros confidenciais, credenciais e tokens de autenticação pertencentes a grandes corporações.

Pesquisadores de segurança da Neo Security descoberto o backup de banco de dados acessível publicamente por meio de mapeamento de superfície de ataque de rotina, destacando uma vulnerabilidade crítica no gerenciamento moderno de infraestrutura de nuvem.

A exposição representa um dos incidentes de configuração incorreta de nuvem mais significativos da memória recente.

Um único backup do SQL Server de 4 TB (.O arquivo BAK) continha não apenas esquemas de banco de dados e procedimentos armazenados, mas potencialmente milhões de chaves de API, tokens de sessão, credenciais de usuário, tokens de autenticação em cache e senhas de contas de serviço.

Para qualquer organização que lida com dados financeiros confidenciais e inteligência corporativa, isso representa uma ameaça existencial à segurança dos dados e à confidencialidade do cliente.

O processo de descoberta começou com reconhecimento passivo.

Um pesquisador da Neo Security notou uma resposta HTTP incomum durante a análise de rotina do tráfego de rede. Uma solicitação HEAD retornou metadados indicando um arquivo de 4 terabytes acessível pela Internet pública.

As convenções de nomenclatura de arquivos e os bytes mágicos (a impressão digital dos tipos de arquivo) confirmaram imediatamente o pior cenário: um não criptografado Banco de dados SQL Server backup acessível abertamente a qualquer pessoa com conexão à Internet.

A Verificação e Divulgação Responsável

Confirmar que a exposição pertencia à EY exigiu um trabalho meticuloso de detetive. As pesquisas de registros DNS SOA acabaram apontando para ey.com, revelando a organização por trás do armazenamento mal configurado do Azure.

Em vez de baixar o arquivo inteiro, o que constituiria um crime, o pesquisador analisou os primeiros kilobytes para confirmar a integridade do arquivo e a autenticidade do formato.

A superfície de ataque era inequivocamente um backup completo do banco de dados contendo dados de missão crítica.

A Neo Security enfrentou a desafiadora realidade da divulgação responsável.

Sem informações de contato de segurança prontamente disponíveis e com o incidente ocorrendo durante um fim de semana, a equipe realizou uma divulgação fria através do LinkedIn, eventualmente se conectando com a equipe de segurança da EY.

A resposta foi excepcional: sem atitude defensiva, sem ameaças legais, apenas resposta profissional a incidentes. Em uma semana, o CSIRT da EY fez a triagem e remediou completamente a exposição.

O incidente sublinha uma vulnerabilidade fundamental na arquitetura moderna da nuvem: a lacuna entre a complexidade da infraestrutura e a supervisão humana. As plataformas em nuvem priorizam a conveniência em detrimento dos padrões de segurança.

Um único mal configurado Lista de Controle de Acesso (ACL) alterar permissões de privadas para públicas transforma um backup inteiro em escala de terabytes em uma mina de ouro acessível ao público para agentes de ameaças.

O perigo real não são invasores sofisticados que têm como alvo específico organizações; é a enorme infraestrutura de varredura distribuída que nunca dorme, varrendo continuamente todo o espaço IPv4 da internet para identificar buckets de dados expostos em segundos.

Incidentes anteriores ilustram a urgência. Uma empresa fintech foi vítima de ransomware depois que um engenheiro expôs temporariamente um backup ao acesso público por cinco minutos.

Durante essa janela estreita, scanners distribuídos identificaram e exfiltraram todo o banco de dados. Quando existem ativos expostos na internet pública, a questão não é se os invasores os encontraram; é quantos o fizeram.

As organizações não podem defender o que não sabem que possuem. O Gerenciamento de Superfície de Ataque evoluiu de um aprimoramento de segurança opcional para uma necessidade essencial de infraestrutura.

A visibilidade adversária contínua e automatizada que corresponde aos recursos de varredura implantados pelos agentes de ameaças representa a única defesa viável contra catástrofes de configuração incorreta da nuvem.

A experiência da EY demonstra que mesmo as organizações com mais recursos permanecem vulneráveis sem uma supervisão implacável da sua superfície de ataque em expansão.

Fonte: CyberPress

Veja também:

• Alertas da CISA sobre exploração ativa da vulnerabilidade WSUS
• Malware DCRat se disfarça de Adobe para roubar dados e enganar usuários
• Alerta sobre segurança de integrações e credenciais
• O vazamento de dados pessoais e a configuração de dano moral
• Ataques de ransomware crescem no Brasil
• Febraban abre curso gratuito de cibersegurança
• Seu robô aspirador pode ser a porta de entrada para um ataque milionário
• Formações gratuitas sobre segurança digital para educadores em Campinas e Sumaré 
• Cinco falhas cotidianas que abrem caminho para ataques cibernéticos
• A saúde como alvo estratégico de ataques cibernéticos
• Funcionários colam regularmente segredos da empresa no ChatGPT
• Falta de atualização no Windows deixa empresas vulneráveis ao malware PipeMagic