Em 12 de junho de 2018, um pesquisador nos Estados Unidos descobriu, em um bucket público do S3, informações pessoais de quase 200 milhões de eleitores americanos.
A base de dados pertence à Deep Root Analytics, uma empresa de big data focada em análise de audiência para propaganda política. Somente dois dias após a denúncia do pesquisador, a empresa restringiu o acesso aos dados.
Casos como esse não são tão raros: no início desse ano uma base com mais de 112 mil registros, contendo informações privadas e não encriptadas de clientes da Fedex foi descoberta. Além disso, no ano passado a gigante Verizon teve 100MB de dados internos e confidenciais vazados.
E por que tantas empresas continuam sendo vítimas de um erro tão comum?
A resposta é, em geral, comodidade.
Com diversas pessoas tendo acesso aos repositórios, é fácil imaginar alguém deixando alguns arquivos ou até mesmo um bucket inteiro público para facilitar o compartilhamento. É o que aconteceu com o Pentágono, que no ano passado sofreu com essa mesma falha após diversos arquivos terem sido mantidos públicos e desencriptados para facilitar seu uso por outras agências de inteligência.
Depois de tantos casos, a AWS modificou a criação de seus buckets para diminuir os casos acidentais.
Agora, ao criar um novo bucket, é possível impedir a publicidade de seus dados, como vemos no painel da AWS:
Além disso, com apenas um checkbox você pode garantir que todo o conteúdo de seu bucket seja encriptado.
Por fim, um aviso, destacado em laranja, indica que o bucket está configurado como público.
Além dessas alterações, desde fevereiro deste ano, o Trusted Advisor passou a alertar todos os usuários sobre bucket públicos – ao invés de restringir a informação aos clientes com suporte business e enterprise.
Monitorando ativamente seu S3
As mudanças promovidas pela AWS, porém, não são suficiente para garantir a segurança de seus dados. Você precisa auditar constantemente seu repositório para garantir que não há arquivos e buckets públicos que deveriam ser privados. Mas como lidar com essa questão quando há alto volume de dados?
Para isso a CleanCloud disponibiliza uma solução open-source, que pode ser acessada aqui, que monitora constantemente sua conta AWS e alerta caso um arquivo seja marcado como público ou um novo bucket público seja criado.
Assim você nunca terá surpresas com arquivos em seu S3 sendo acessados por terceiros sem seu consentimento, e ficará livre de se tornar mais uma vítima desse ataque tão comum.
Verificação contínua
A segurança de sua nuvem é uma preocupação importante, porém é difícil verificar toda sua infraestrutura regularmente. Para isso, conte com a CleanCloud!
Possuímos hoje mais de 25 insights de segurança: verificamos diariamente esses itens em sua conta e te alertamos melhorias a serem realizadas.
Além disso contamos com outros 40+ insights para te ajudar a reduzir o custo de sua nuvem e otimizar sua performance.
Comece um trial gratuito agora mesmo e não deixe sua nuvem exposta!
