Ciberataque mira clientes da AWS com chaves de acesso comprometidas

Série de incidentes foi detectada por laboratórios de estudo sobre Cibersegurança e entrou no radar de monitoramento da Big Tech. Ação hacker permitia acessar arquivos de clientes e utilizar a infraestrutura nativa de criptografia para encriptar os dados indevidamente, criando dificuldades para a recuperação do incidente

Compartilhar:

A Amazon Web Services informou, por meio de nota enviada à Security Report hoje (22), já ter ciência sobre uma nova operação cibercriminosa contra usuários dos serviços de armazenamento de dados da companhia. A campanha de ações maliciosas foi detectada na última semana por laboratórios de Threat Intelligence e informada à organização em seguida.

 

De acordo com os reportes, agentes hostis estariam usando chaves de acesso comprometidas para mover ataques em que se usam a própria criptografia mantida na AWS para bloquear os registros com chaves simétricas. Por meio desse método, medidas de resposta a esse incidente tendem a se tornar mais complexas de serem efetivadas.

 

Tanto a AWS quanto os grupos de pesquisa reforçam que os incidentes não são fruto de uma vulnerabilidade interna da empresa, mas devido a chaves de acesso expostas ou pouco protetivas. Nesse sentido, a Big Tech reforça que promove medidas constantes de proteção de seus recursos de nuvem por modelos de responsabilidade compartilhada.

 

“Sempre que a AWS toma conhecimento de chaves expostas, notificamos os clientes afetados. Também investigamos minuciosamente todos os relatórios de chaves expostas e tomamos rapidamente as ações necessárias, como aplicar políticas de quarentena para minimizar os riscos para os clientes sem interromper seu ambiente de TI”, reforça o posicionamento.

 

A companhia também incentiva todos os clientes a seguir as melhores práticas de segurança, identidade e conformidade. Ela também oferece um conjunto avançado de recursos que eliminam a necessidade de armazenar credenciais no código-fonte ou em arquivos de configuração.

 

“Caso um cliente suspeite que pode ter exposto suas credenciais, ele pode começar seguindo as etapas listadas em post. Os clientes podem também entrar em contato com o suporte da AWS sobre quaisquer dúvidas ou preocupações relacionadas à segurança de suas contas”, orienta a empresa.

 

Recentemente, o conglomerado de tecnologia e serviços também foi alvo de um incidente cibernético que teria exposto diversos dados internos da companhia. Segundo posicionamento enviado para a Security Report na época, as informações teriam sido comprometidas por meio de um parceiro terceirizado da Big Tech.

 

A Security Report publica, na íntegra, posicionamento enviado pela AWS:

 

A AWS ajuda os clientes a protegerem seus recursos na nuvem por meio de um modelo de responsabilidade compartilhada. Sempre que a AWS toma conhecimento de chaves expostas, notificamos os clientes afetados. Também investigamos minuciosamente todos os relatórios de chaves expostas e tomamos rapidamente as ações necessárias, como aplicar políticas de quarentena para minimizar os riscos para os clientes sem interromper seu ambiente de TI.

 

Incentivamos todos os clientes a seguir as melhores práticas de segurança, identidade e conformidade. Caso um cliente suspeite que pode ter exposto suas credenciais, ele pode começar seguindo as etapas listadas em post. Os clientes podem também entrar em contato com o suporte da AWS sobre quaisquer dúvidas ou preocupações relacionadas à segurança de suas contas.

 

A AWS fornece um conjunto avançado de recursos que eliminam a necessidade de armazenar credenciais no código-fonte ou em arquivos de configuração. As funções do IAM permitem que os aplicativos façam solicitações de API assinadas com segurança de instâncias do EC2, contêineres do ECS, do EKS ou funções do Lambda usando credenciais de curto prazo que são implantadas automaticamente, alternadas com frequência, sem necessidade de gerenciamento de clientes. Até mesmo nós de computação fora da nuvem AWS podem fazer chamadas autenticadas sem credenciais de longo prazo da AWS usando o recurso Roles Anywhere. 

 

As estações de trabalho do desenvolvedor usam o Identity Center para obter credenciais de curto prazo apoiadas por suas identidades de usuário de longo prazo protegidas por tokens MFA. Todas essas tecnologias dependem do AWS Security Token Service (AWS STS) para emitir credenciais de segurança temporárias que podem controlar o acesso aos recursos da AWS sem distribuir ou incorporar credenciais de segurança da AWS de longo prazo em uma aplicação, seja em código ou arquivos de configuração. 

 

Até mesmo o acesso seguro a tecnologias que não são da AWS pode ser protegido usando o serviço AWS Secrets Manager. O objetivo desse serviço é criar, gerenciar, recuperar e alternar automaticamente credenciais que não são da AWS, como nomes de usuário e senhas de banco de dados, chaves de API que não são da AWS e outros dados restritos ao longo de seus ciclos de vida.

 

Conteúdos Relacionados

Security Report | Destaques

ANPD mantém proibição de pagamento por coleta de íris

A Tools For Humanity, responsável pelo projeto World ID para coletar dados biométricos mediante pagamento aos titulares, enviou um recurso...
Security Report | Destaques

ANPD anuncia processo sancionador contra grupo RaiaDrogasil

Nova ação é resultado da investigação movida pela autoridade desde maio de 2023, para apurar suposta venda de publicidade direcionada...
Security Report | Destaques

Dataprev investiga suposto comprometimento de dados no INSS

Nesta semana, circularam nas redes informação de que o sistema de Comunicação de Acidente de Trabalho (CAT), ligado ao instituto...
Security Report | Destaques

Aarin Tech-Fin renova estratégia de borda baseada em confiança zero

Proteger o acesso às APIs críticas para a operação empresarial era um dos grandes desafios encarados pela companhia de serviços...