A história da Capital One é um marco para a segurança em nuvem. Ocorrida em 2019, mais de 100 milhões de inscrições de cartões de crédito foram roubadas por Paige A. Thompson, ex-colaboradora da Amazon. O Banco de Dados das inscrições de cartões continha 80 mil números de contas bancárias. O custo estimado da violação poderia ser de mais de 300 milhões de dólares, mas a organização foi multada em 80 milhões de dólares em 2020.
Como isso aconteceu?
Erro de configuração: uma configuração equivocada de identidade e política de acesso em que o acesso a partição do armazenamento que continha dados sensíveis era ampla demais.
Software vulnerável: uma vulnerabilidade para falsificação de solicitações do lado servidor em que o atacante foi capaz de ter suas solicitações retransmitidas para o serviço de metadados da Amazon e receber respostas, incluindo credenciais de segurança.
A Amazon fornece um “Simple Storage Service” (S3) que permite que os programas armazenem e recuperem grandes quantidades de dados. O S3 permite que os programas armazenem dados em “buckets”.
Uma vez que um firewall de rede ou um grupo de segurança da AWS permite a comunicação com um servidor web, um WAF (web application firewall) pode ser usado para impor e manejar as comunicações com o servidor web e aplicativos web que o compõem.
Os buckets do S3 da Capital One eram privados e configurados para serem acessíveis a uma função do IAM (gerenciamento de identidade e acesso) que foi atribuída ao WAF. Embora os buckets S3 da Capital One não tenham sido configurados incorretamente para serem públicos, eles potencialmente foram configurados incorretamente para serem acessíveis ao WAF, em que o correto seria atribuir uma função mais restritiva, ao invés do WAF cujo trabalho era mediar solicitações da web vindas do mundo externo.
Assim, a violação foi possível por erro de configuração e exploração de uma vulnerabilidade do software. Tenha este case como um exemplo do perigo potencial que é deixar sua organização sem uma estrutura eficiente de cibersegurança. Conte conosco para proteger sua infraestrutura com tecnologias e profissionais especialistas. #VEMSERORAEX
Deixe um comentário