Acesso a dados dos servidores Amazon expõe falhas de segurança

Muitas ocorrências que integram o recente surto de vazamentos de dados sensíveis registrado por diversas companhias e organizações, entre as quais Time Warner, Viacom e a firma de análise de dados Deep Root, contratada pelo Comitê Nacional do Partido Republicano dos Estados Unidos, têm origem na vulnerabilidade de cerca de 7% de todos os servidores S3 da Amazon.

No caso da Deep Root, o resultado final foi o vazamento acidental de dados pessoais de 198 milhões de cidadãos norte-americanos que foram armazenados durante duas semanas sem a proteção de qualquer senha. É possível imaginar os desdobramentos legais que certamente ocorrerão.

Não é possível ficar restrito a um único culpado por esse cenário caótico. Cada vez mais empresas optam por migrar rapidamente para a nuvem como forma de alcançar importantes vantagens competitivas, mas acabam por não adotar medidas básicas para garantir a segurança de seus dados nesse novo ambiente.

Pode parecer incrível, mas em quase todos os casos a razão dos vazamentos reside no fato de essas empresas, por meio dos responsáveis pelo processo de migração para a nuvem, terem deixado os servidores da Amazon S3 configurados de modo a permitir o acesso público. Dessa forma, qualquer pessoa com um link ao servidor pode acessar, ver ou baixar esses dados.

Para Christian Vezina, chief information security officer (CISO) da Vasco Data Security, todos os vazamentos de dados têm algo em comum. “Podemos chamar de desatenção, que se manifesta quando percorremos rapidamente os e-mails e clicamos por engano em um link contaminado ou quando esquecemos de ativar importantes funções de segurança, por exemplo”, disse.

Elo fraco da cadeia

Segundo ele, o fato é que nós humanos somos o elo mais fraco na cadeia de segurança. “A Amazon Web Services (AWS) foi vítima de seu próprio sucesso. Para tornar tão fácil para qualquer pessoa ou instituição ter seus próprios servidores toda uma barreira foi removida: a do conhecimento técnico.”

Ir para a nuvem, prosseguiu, é relativamente simples, sim, mas alguém precisa fazer a passagem dos antigos paradigmas. “Experientes administradores de sistemas costumam navegar por complexos conjuntos de instruções e construírem sistemas seguros na nuvem. Já equipes menos experimentes ou sob pressão para entregar rapidamente sistemas já operacionais acabam esquecendo procedimentos críticos ao longo do processo, permitindo a exposição de milhares e mesmo de milhões de dados.”

Concluindo, Vezina alerta para o fato de que se a informação está lá fora e pronta para ser descoberta, não é possível confiar de forma cega no conceito de segurança. “É apenas uma questão de tempo até que alguém descubra uma forma de acesso. Se você está armazenando seus dados na nuvem, leve o tempo que for necessário para configurar seus sistemas de forma segura, sem esquecer também de encriptar os seus dados.”