De acordo com o site The Hack, cerca de 250 GB de documentos digitalizados de clientes de instituições bancárias foram vazadas de um repositório de dados da Amazon Web Services (AWS). O vazamento de informações privadas, que vão de contratos financeiros a digitalização de CPFs e RGs – onde é possível identificar os dados – não se trata de um ataque hacker, mas sim da disponibilidade de informações em um banco de dados público, conforme explica Fábio Beato, diretor de Operações de Cloud da Claranet Brasil.
De acordo com o especialista em nuvem, os documentos se encontravam em um bucket público do Simple Storage Service (S3). “Este é um serviço de repositório de dados da AWS que pode ou não ficar público, a depender da configuração do bucket”, diz. Na opinião dele, a falta de gestão de nuvem permitiu que informações privadas e sensíveis fosse tornada pública.
O caso foi revelado pelo Data Grupo, constituído por pesquisadores brasileiros independentes que pesquisam vulnerabilidades em aplicações e sistemas, e envolveu diferentes instituições bancárias. Do total de 250 GB dos quais o grupo diz ter acesso, 350 MB foram passados para o The Hack, que divulgou vazamentos de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, demonstrativos, holerites e cartões de crédito, principalmente de clientes do Banco Pan. O site indica, porém, que o ambiente vulnerável pertence a um correspondente bancário.
Para Beato, os dados vazados são extremamente críticos e poderiam virar fontes para golpes e extorsões por grupos criminosos. “É importante frisar que se tratam de documentos digitalizados, que incluem até mesmo fotos de pessoas.” Em nota ao site The Hack, o Banco Pan afirma que foi feita análise criteriosa e não foi constatada nenhuma invasão.
“Não está claro, ainda, se o bucket S3 já se tornou privado, mas acredito que sim (de acordo com o The Hack, o acesso aos dados já se tornou privado). Os dados também podem ter sido tirados do S3”, diz. O especialista da Claranet ressalta que não se sabe por quanto tempo os dados estavam públicos, o que torna possível que criminosos tenham tido acesso aos arquivos. Por outro lado, ele ressalta que a AWS conta com ferramentas para rastrear acessos a bancos S3, podendo descobrir por quem, quando e como foi acessado o bucket público.
Ainda segundo a nota do Banco Pan, a instituição afirma que o ambiente questionado não era de sua propriedade e estariam em guarda de um parceiro comercial. O banco ratificou que a segurança de informação é uma de suas prioridades, mas não comenta quais ações tomou para minimizar os danos do vazamento.
Casos do tipo não são novidade
Beato também lembrou que o cenário não é novidade. Em junho de 2018, foi identificado um bucket público no S3 utilizado por um aplicativo de uma montadora na Índia, onde foi possível encontrar informações privadas de aproximadamente 50 mil clientes da empresa. Já em abril deste ano, uma empresa mexicana que faz app para o Facebook também estava exposta em um repositório S3.
O especialista da Claranet, parceira da AWS e que dá suporte à nuvem para 6,5 mil clientes, diz que há um conjunto de processo de governança para usar serviços da provedora de cloud pública. “O tipo de descuido tem a ver com a visão do uso da TI para o negócio, que precisa de escalabilidade e agilidade, deixando a parte de operação mais de lado”, diz ele. O ideal, em sua visão, é contar com um parceiro para responder pela parte operacional e de compliance em suas operações com a nuvem.