Segundo The Hack apurou junto a Arcos Dorados (responsável pela marca McDonald’s na América Latina), o ambiente vulnerável era de propriedade de um prestador de serviços chamado DoxTI, que foi contratado para desenvolver um sistema de indicadores de Mc performance. Pois, mas esta empresa colocou os dados dos funcionários do Mc em um ambiente Elasticsearch desprotegido, com livre acesso para usuários não-autenticados - uma falha que tem se tornado uma verdadeira epidemia nos últimos meses.
Conforme explica a reportagem da The Hack, o Elasticsearch é uma ferramenta popular utilizada em ambientes em Cloud Computing para facilitar a consulta de grande volumes de dados. Porém, por padrão, ao ser instalada, ela é configurada com acesso público — o que significa que qualquer pessoa com a URL certa é capaz de acessar as informações indexadas pela plataforma. Já noticiamos outros casos similares, como este app de relacionamento e servidores contendo dados cadastrais de quase toda a população equatoriana e chilena.
Lições que deveriam ser aprendidas:
- Exigir e atirar a segurança de prestadores de serviço e fábricas de software. Um vazamento num prestador de serviço pode causar grande dor de cabeça para a empresa, mesmo que seja um terceiro contratada para fazer um sistema bobinho, simples ou baratinho;
- Testar e auditar sempre. Principalmente ao colocar algum ambiente na nuvem (independente de ser um ambiente para desenvolvimento, homologação ou produção). Nunca suba um ambiente exposto na Internet sem fazer todos os testes de segurança possívels - nem mesmo sem fazer os testes mais básicos (como tentar acessar sem autenticação).
Nenhum comentário:
Postar um comentário