EY expõe acidentalmente mais de 4 TB de dados sensíveis na internet por falha de configuração em servidor SQL

A empresa de consultoria e auditoria EY (Ernst & Young) deixou expostos na internet mais de 4 terabytes de dados confidenciais, incluindo credenciais de acesso, tokens de autenticação, senhas e chaves de API, após uma falha de configuração em um servidor SQL. A descoberta foi feita por pesquisadores da empresa holandesa Neo Security, que encontraram o enorme arquivo de backup — no formato .BAK — disponível publicamente na web, sem qualquer tipo de criptografia ou restrição de acesso.

De acordo com o relatório da Neo Security, o arquivo continha informações altamente sensíveis, como tokens de sessão, credenciais de contas de serviço e dados de autenticação em cache, o que poderia permitir que invasores tivessem acesso total a sistemas internos da EY. “Encontrar um backup SQL de 4 TB exposto publicamente é como encontrar a planta-mestra e as chaves físicas de um cofre deixadas à vista, com um bilhete dizendo ‘leve para casa’”, afirmou a equipe de pesquisa.

O incidente ocorreu devido a uma configuração incorreta em um bucket de nuvem, erro comum em ambientes de armazenamento online. Segundo a Neo Security, esse tipo de falha pode acontecer com apenas um clique errado ou um erro de digitação, tornando informações privadas acessíveis a qualquer pessoa na internet. “As plataformas em nuvem são criadas para facilitar o uso, não para garantir segurança. Elas partem do pressuposto de que o usuário sabe o que está fazendo”, alertou a empresa.

Embora não se saiba por quanto tempo o banco de dados permaneceu exposto, os pesquisadores afirmam que é prudente assumir que os dados foram comprometidos. A descoberta ocorreu durante o fim de semana, e o contato com a EY foi feito às pressas por meio de mensagens diretas no LinkedIn, até que o caso fosse encaminhado à equipe de resposta a incidentes da companhia.

A Neo Security elogiou a postura da EY, destacando que a resposta foi rápida e profissional, com a falha sendo corrigida em menos de uma semana após a notificação. Ainda assim, o caso levanta novas preocupações sobre a segurança de dados corporativos armazenados em nuvem e o risco de erros humanos em processos automatizados.

A empresa de segurança comparou o episódio com um caso anterior em que uma organização sofreu um ataque de ransomware após deixar um banco de dados acessível por apenas cinco minutos. Naquele episódio, hackers automatizados localizaram e baixaram o arquivo completo, levando ao vazamento de segredos comerciais e, posteriormente, à falência da empresa.

Via - TR