- Pesquisadores encontram vulnerabilidades em sites públicos que expuseram informações confidenciais
- Mais tarde, eles descobriram uma campanha que usava as falhas para exfiltrar dados de “milhões de sites”
- Os bandidos vendiam os dados na dark web por “centenas de euros”
Instâncias de nuvem mal configuradas foram mais uma vez usadas para roubar informações confidenciais, como credenciais de login, chaves de API e muito mais.
Desta vez, as vítimas foram inúmeros clientes da Amazon Web Services (AWS) que parecem não compreender o modelo de responsabilidade compartilhada da infraestrutura em nuvem.
Em agosto de 2024, os pesquisadores de segurança independentes Noam Rotem e Ran Loncar descobriram vulnerabilidades em sites públicos que poderiam ser utilizadas para acessar dados confidenciais de clientes, credenciais de infraestrutura e código-fonte proprietário.
Vendendo os dados no Telegram
Investigações adicionais determinaram que atores de ameaças de língua francesa, possivelmente ligados aos grupos de hackers Nemesis e ShinyHunters, estavam escaneando “milhões de sites” e usando as vulnerabilidades para extrair dados confidenciais.
As informações extraídas dessa forma incluíam chaves e segredos de clientes da AWS, credenciais de banco de dados, credenciais Git e código-fonte, credenciais SMTP (para envio de e-mail), chaves de API para serviços como Twilio, Binance e SendGrid, credenciais SSH, chaves e mnemônicos relacionados a criptomoedas. e outras credenciais de acesso confidenciais (por exemplo, para CPanel, contas do Google e serviços de terceiros). Algumas vítimas foram identificadas, mas não mencionadas no relatório, por razões óbvias de segurança.
Os malfeitores vendiam então os arquivos num canal dedicado do Telegram, ganhando “centenas de euros por violação”. Ótimo, já que provavelmente precisarão do dinheiro para aconselhamento jurídico, quando forem presos e julgados.
“Nossa investigação identificou os nomes e informações de contato de alguns dos indivíduos por trás deste incidente”, disseram os pesquisadores. “Isso pode ajudar em futuras ações contra os perpetradores.”
Rotem e Loncar relataram suas descobertas, primeiro à Diretoria Cibernética de Israel e, posteriormente, à AWS Security. Os dois “começaram a tomar ações imediatas” para mitigar o risco, embora a AWS tenha enfatizado que a vulnerabilidade não estava no sistema, mas sim na forma como os clientes o utilizavam:
“A equipe de segurança da AWS enfatizou que esta operação não representa uma preocupação de segurança para a AWS, mas sim do lado do cliente no modelo de responsabilidade compartilhada – uma declaração com a qual concordamos plenamente”, disse vpnMentor em seu relatório.
Os profissionais de segurança cibernética alertam constantemente sobre as configurações incorretas da nuvem, que são um dos principais motivos das violações. Ironicamente, os hackers também não parecem estar prestando atenção a esses avisos, já que os pesquisadores encontraram todos os arquivos roubados – em um banco de dados AWS desprotegido.
“Os dados coletados das vítimas foram armazenados em um bucket S3, que foi deixado aberto devido a uma configuração incorreta de seu proprietário”, disse. “O bucket S3 estava sendo usado como um “drive compartilhado” entre os membros do grupo de ataque, com base no código-fonte das ferramentas utilizadas por eles.”
Por fim, a AWS relatou “lidar com o problema” em 9 de novembro.