Mais de 2 milhões de ativos expostos na Internet

01/12/2025 mindsecblog Artigos, Notícias 0

Analise da Cycognito revela que existem mais de 2 milhões de ativos expostos na Internet

Equipe da Cycognito divulgou resultados de uma amostra estatística de mais de 2 milhões de ativos expostos à internet, incluindo infraestruturas locais, nuvem, APIs e aplicativos web, descobertos e analisados ​​pela plataforma CyCognito. 

A análise concentrou-se na identificação de ativos exploráveis ​​em diversos setores-chave, utilizando técnicas que simulam o comportamento de atacantes no mundo real, incluindo:

  • Testes de intrusão de caixa preta usando mais de 90.000 módulos de exploração, simulações de preenchimento de credenciais, detecção de exposição de dados, etc.
  • Testes dinâmicos de segurança de aplicações (DAST) para identificar vulnerabilidades em aplicações web em tempo de execução.
  • Análise ativa de vulnerabilidades em serviços expostos à internet para detectar CVEs, configurações incorretas e ativos vulneráveis.

Em um ano marcado por crescentes tensões geopolíticas, exigências mais rigorosas de divulgação de informações cibernéticas e uma série de violações de dados de alto nível, o momento escolhido para esta pesquisa não é mera coincidência.

À medida que os líderes de segurança enfrentam uma pressão crescente para demonstrar controle sobre seu perímetro digital, os ativos expostos à internet continuam sendo a maior incógnita – muitas vezes invisíveis até que seja tarde demais.

Ao compartilhar essas descobertas, nosso objetivo não é apenas destacar onde as vulnerabilidades se concentram, mas também expor por que as varreduras superficiais e os inventários estáticos continuam a ignorar os riscos que se transformam nas manchetes de amanhã.

 

Metodologia

Esta análise baseia-se numa amostra aleatória de mais de 2 milhões de ativos em nuvem expostos à internet, extraídos de um conjunto de dados mais amplo identificado e analisado pela plataforma CyCognito entre 1 de janeiro de 2024 e junho de 2025. A amostra visa fornecer informações estatisticamente significativas sobre padrões de vulnerabilidade em diferentes setores, com foco em três tipos de ativos comuns: APIs, aplicações web e infraestrutura em nuvem. Cada ativo foi atribuído ao seu respectivo proprietário comercial utilizando o mecanismo de atribuição proprietário da CyCognito, e ao seu respectivo setor, em conformidade com o Global Industry Classification Standard (GICS).

Os ativos vulneráveis ​​foram sinalizados com base em uma combinação de problemas exploráveis ​​conhecidos, dados sensíveis expostos, software desatualizado e outras configurações incorretas validadas por meio de testes automatizados não intrusivos, etc.

 

O que está exposto? Uma visão transversal de ativos.

Em uma visão mais ampla, veja como a vulnerabilidade se distribui entre os três tipos de ativos:

  • Ativos em nuvem: 13,6%
  • APIs: 20,8%
  • Aplicações web: 19,6%

Como seria de esperar, as APIs e as aplicações web representam a maior concentração de risco. A sua proliferação — especialmente através da TI paralela e das integrações de terceiros — torna-as fáceis de introduzir e difíceis de governar.

Ao analisar setor por setor, a distribuição de ativos vulneráveis ​​versus não vulneráveis ​​varia — às vezes drasticamente:

IndústriaAtivos VulneráveisAtivos não vulneráveis
Construção18%82%
Educação31%69%
Energia18%82%
Financiar5%95%
Governo26%74%
Assistência médica e seguros16%84%
Hospitalidade15%85%
Fabricação19%81%
Mídia21%79%
Serviços profissionais28%72%
Varejo27%73%
Tecnologia15%85%
Telecomunicações15%85%
Transporte12%88%

 

Os 5 setores mais expostos: além das estatísticas 

É importante ressaltar que esses números são mais do que estatísticas abstratas; são sinais de consequências reais que já estão se desenrolando. 

Cada ponto percentual representa um incidente potencial, um sistema comprometido ou uma violação prestes a acontecer. Por trás dos dados, existem eventos reais — muitos recentes, alguns ainda sob investigação — que validam essas conclusões e sugerem que, sem melhorias urgentes, mais manchetes negativas são inevitáveis.

Eis como isso se manifesta nos cinco setores mais vulneráveis:

1. Educação

  • Nuvem: 17,6% | APIs: 37,7% | Aplicativos Web: 35,3%

A crescente adoção digital, o investimento limitado em segurança e a infraestrutura extensa transformam o setor da educação em um cenário perfeito para ataques. A violação de dados da PowerSchool em dezembro de 2024 expôs milhões de registros, evidenciando fragilidades em todo o setor.

2. Varejo

  • Nuvem: 23,3% | APIs: 29,8% | Aplicativos Web: 30,9% 

A complexidade do setor varejista e a dependência de terceiros criam pontos cegos persistentes. A violação de dados da Marks & Spencer em abril de 2025 explorou uma vulnerabilidade de um fornecedor, resultando em perda de dados e prejuízos estimados em mais de £300 milhões.

3. Governo

  • Nuvem: 18,4% | APIs: 18,5% | Aplicativos Web: 30,4% 

Os ativos do setor público são cada vez mais visados ​​por agentes patrocinados por Estados. Uma Avaliação de Ameaças à Segurança Interna de 2025, realizada pelo Departamento de Segurança Interna dos EUA (DHS), alertou para a intensificação de campanhas cibernéticas patrocinadas por Estados-nação contra infraestruturas governamentais críticas.

4. Serviços Profissionais

  • Nuvem: 25% | APIs: 10,6% | Aplicativos Web: 30,1% 

Apesar da menor exposição a APIs, o setor apresenta alta vulnerabilidade na web e na nuvem devido a ambientes de TI fragmentados e à entrega descentralizada de serviços ao cliente. Em 2024, a Capita sofreu uma violação de segurança que afetou sistemas internos relacionados a ativos expostos à internet mal configurados.

5. Mídia

  • Nuvem: 13,8% | APIs: 18,8% | Aplicativos Web: 25,7% 

As plataformas de mídia priorizam a velocidade de entrega e a disponibilidade de conteúdo, muitas vezes em detrimento do reforço dos controles. A violação de segurança da Vice Media no final de 2023 expôs sistemas internos, evidenciando os riscos em APIs de CMS e de tecnologia de publicidade.

Notavelmente, cada um desses setores apresenta um perfil de risco distinto. No caso da educação, o risco geralmente reside na concentração de dados pessoais sensíveis em sistemas mal gerenciados e desatualizados. 

No setor varejista, a dependência de fornecedores interconectados e plataformas de comércio eletrônico costuma ampliar a superfície de ataque. Já nos sistemas governamentais, a combinação de tecnologias legadas e serviços expostos publicamente geralmente cria pontos de vulnerabilidade. 

Os serviços profissionais enfrentam uma exposição agravada devido aos ambientes específicos de cada cliente e à dispersão de ativos. Além disso, a busca por velocidade de publicação no setor de mídia muitas vezes supera a governança, deixando APIs e plataformas de CMS como pontos fracos recorrentes.

Embora, em teoria, dois setores possam apresentar percentagens semelhantes de vulnerabilidades, em um ou mais tipos de ativos, o tipo de dano que essas vulnerabilidades podem causar varia amplamente. Por exemplo, um aplicativo universitário exposto pode vazar grandes quantidades de informações de identificação pessoal (PII), causando danos à reputação, violações de regulamentações e reações negativas do público. 

Por mais grave que isso seja, o impacto pode ser insignificante se comparado a um dispositivo de borda vulnerável em uma rede de telecomunicações ou governamental, onde a exploração pode servir como ponto de apoio para movimentação lateral, escalonamento de privilégios e ataques de longa duração que comprometem silenciosamente a infraestrutura crítica de dentro para fora. 

Compreender o contexto de quem detém o ativo, o que ele faz e, principalmente, como os atacantes o enxergam no contexto de uma rede mais ampla é onde a verdadeira gestão de exposição acontece. 

Entendimento compartilhado

As ameaças à segurança são diversas, assim como as formas como são medidas e percebidas. O relatório acima oferece uma perspectiva, baseada em dados observados por meio da plataforma CyCognito, servindo como peça de um quebra-cabeça maior.

As superfícies de ataque são dinâmicas e os riscos estão em constante evolução. Nenhuma análise isolada pode (ou deveria) afirmar abranger tudo. É por isso que acreditamos que o compartilhamento de informações entre fornecedores de segurança é essencial, e esta é a nossa forma de contribuir, oferecendo uma visão do que observamos em nosso trabalho diário.

Ao compartilhar nossas descobertas, esperamos promover uma conscientização mais ampla, ajudando defensores, tomadores de decisão e organizações a fazerem escolhas mais informadas. Acreditamos que o compartilhamento de conhecimento leva à resiliência coletiva. Quanto mais pontos de vista reunirmos, mais bem preparados estaremos para proteger o que importa.

Clique e Fale com representate Cycognito

Veja também:

About mindsecblog 3347 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Seu treinamento de cibersegurança pode estar falho

19/04/2021 mindsecblog Artigos, Notícias 4

Seu treinamento de cibersegurança pode estar falho. O treinamento em segurança cibernética durante a pandemia se mostrou insuficiente, de acordo com uma nova pesquisa da TalentLMS.  O senso-comum sobre treinamentos e conscientização de segurança está repleto […]

Artigos

Cibersegurança importância, ameaças e benefícios

25/10/2021 mindsecblog Artigos, Notícias 8

Cibersegurança importância, ameaças e benefícios. A segurança cibernética é a proteção de sistemas conectados à Internet, como hardware, software e dados contra ameaças cibernéticas. A prática é usada por indivíduos e empresas para proteção contra […]

Artigos

Nova abordagem para Gerenciamento de Risco de Terceiros

23/09/2022 mindsecblog Artigos, Notícias 0

Nova abordagem para Gerenciamento de Risco de Terceiros. Obtenha informações completas sobre as posturas de segurança cibernética de seus fornecedores terceirizados. As organizações dependem de seus fornecedores terceirizados para fornecer serviços importantes como folha de […]

Be the first to comment

Deixe sua opinião!