0
0
As configurações incorretas de armazenamento em nuvem do tipo que a Microsoft divulgou na noite de ontem continuam sendo um dos principais contribuintes para as violações de dados.
O Microsoft Security Response Center disse em um post que as informações compartilhadas por clientes em potencial com a empresa nos últimos anos podem ter sido comprometidas por meio de um endpoint de armazenamento em nuvem mal configurado.
SOCRadar, a empresa de inteligência de ameaças que relatou o problema à Microsoft, descreveu a descoberta dos dados em um bucket de armazenamento Azure Blob que era acessível publicamente pela Internet. Os dados foram associados a mais de 65.000 empresas em 11 países e incluíram documentos de declaração de trabalho, faturas, pedidos de produtos, detalhes do projeto, documentos assinados de clientes, listas de preços de produtos, informações de identificação pessoal (PII) e potencialmente propriedade intelectual. .
A Microsoft culpou o problema por uma configuração incorreta não intencional em um endpoint que contém os dados e disse que o SOCRadar “exagerava muito o escopo desse problema”, com alguns dados duplicados que exageravam os números.
Problema contínuo
As configurações incorretas do bucket de armazenamento por outras organizações resultaram em várias violações de dados nos últimos anos. Um estudo da Trend Micro no ano passado descobriu que os erros de configuração relacionados ao armazenamento estão entre os problemas de segurança na nuvem mais comuns que levam a violações de dados. A análise mostrou, por exemplo, que os administradores frequentemente configuram incorretamente uma configuração no serviço de nuvem AWS da Amazon que permite que as organizações bloqueiem o acesso público aos dados em seus buckets de armazenamento S3. Mas mesmo com documentação detalhada e prontamente disponível, os administradores geralmente ficam aquém e deixam os buckets do Amazon S3 abertos e acessíveis ao público .
O fornecedor de segurança também encontrou o mesmo problema nos ambientes de armazenamento do Microsoft Azure. O serviço de conta de armazenamento do Azure que contém objetos de armazenamento do Azure, como blobs, compartilhamentos de arquivos e tabelas, teve uma taxa de configuração incorreta de 60,75%, segundo a Trend Micro.
Sem surpresa, as exposições de dados resultantes de buckets de armazenamento em nuvem mal configurados permanecem comuns. Muitas das instâncias conhecidas publicamente envolveram dados em buckets de armazenamento do AWS S3 inseguros ou mal configurados. Um exemplo recente é a descoberta pela Skyhigh Security de cerca de 3 TB de dados de aeroportos — mais de 1,5 milhão de arquivos — armazenados em um bucket do S3 acessível publicamente. Os dados comprometidos incluíam PII e dados confidenciais de funcionários e empresas associados a pelo menos quatro aeroportos no Peru e na Colômbia.
De acordo com o fornecedor de gerenciamento de risco UpGuard, houve milhares de violações relacionadas ao S3 vinculadas a configurações incorretas do S3 nos últimos anos. Incidentes envolvendo configurações incorretas do Azure Blob — embora em menor número — também resultaram em grandes comprometimentos. A pesquisa que a CyberArk realizou no ano passado descobriu milhões de arquivos armazenados online no armazenamento Azure Blob sem nenhuma restrição de acesso, o que significa que qualquer pessoa que procura os dados pode acessá-los. Muitos dos arquivos encontrados pela CyberArk incluem informações de identificação pessoal, informações de cartão de pagamento, informações financeiras e outros dados confidenciais.
Tantos dados
Enquanto isso, as circunstâncias em torno da recém-divulgada configuração incorreta do Azure Blob da Microsoft não são claras, diz Claude Mandy, evangelista-chefe de segurança de dados da Symmetry Systems. “Uma análise pós-incidente mais técnica seria benéfica para toda a indústria tomar medidas proativas para evitar problemas semelhantes”, diz ele.
As informações divulgadas até agora sobre o incidente da Microsoft sugerem que o contêiner de armazenamento do Azure ou os blobs que contêm os dados foram configurados para permitir acesso de leitura pública anônima aos dados – uma configuração que não é permitida por padrão. “Infelizmente, esse desvio de configuração é comum. Por exemplo, pode resultar de usuários com privilégios excessivos tentando compartilhar dados específicos com terceiros sem ter o conhecimento necessário para configurar o acesso externo com segurança”, diz Mandy.
Além disso, parece que o armazenamento de blob específico também pode ter sido usado para fazer backup de dados de outros armazenamentos de blob, resultando em mais compartilhamento autônomo de dados, acrescenta ele.
O incidente ressalta os desafios que as organizações enfrentam pela grande escala de dados gerados e coletados nos dias de hoje e pela maneira como são compartilhados e gerenciados. “Isso pode incluir mudanças simples, como pessoas entrando e saindo de organizações, ou a necessidade de usar ou compartilhar dados com diferentes partes”, diz Mandy. “O impacto da mudança contínua no nível de objeto de dados mais granular pode resultar em consequências autônomas e significativas, mas é um desafio monitorar manualmente em escala.”
Andrew Hay, diretor de operações da Lares Consulting, acredita que o incidente recente foi provavelmente o resultado de uma supervisão de um desenvolvedor ou administrador. “Como o AWS S3, os usuários devem se esforçar para permitir o acesso público ao Azure Storage Blob”, diz Hay. “O acesso público de leitura a dados de blob é uma configuração opcional que pode ser habilitada em um contêiner.”
Embora o acesso público de leitura possa ser conveniente para compartilhar dados, também envolve riscos de segurança, diz ele. O Azure permite que os administradores não permitam o acesso público aos dados em uma conta de armazenamento, observa ele. Qualquer solicitação subsequente de acesso aos dados do blob precisaria ser autorizada e as solicitações anônimas falhariam, explica Hay.
A Microsoft não respondeu a um pedido de comentário adicional até esta publicação.
FONTE: DARK READING