Falha de configuração em nuvem expõe mais de 4 TB de dados sensíveis da EY
Erro de permissão em servidor Azure deixa backup da Ernst & Young acessível publicamente, levantando alerta sobre segurança em ambientes de nuvem corporativa.
A empresa global de auditoria e consultoria Ernst & Young (EY) sofreu uma grave exposição de dados após um arquivo de backup com mais de 4 terabytes ficar publicamente acessível em um servidor da nuvem Microsoft Azure. A falha decorreu de uma configuração incorreta de acesso que transformou o armazenamento privado em público.
O incidente foi detectado por pesquisadores da Neo Security, que identificaram que o arquivo exposto continha não só esquemas de banco de dados e procedimentos armazenados, mas também milhões de credenciais de usuário, senhas de contas de serviço, tokens de API e informações de autenticação em cache. Essas informações podem permitir que invasores tenham acesso profundo aos sistemas internos da empresa.
Em resposta, a EY afirmou que o erro foi localizado em uma entidade adquirida pela subsidiária italiana da empresa e que não havia conexão com os sistemas globais da corporação. A empresa também comunicou que — mesmo sem evidências de vazamento de dados de clientes ou informações reguladas — o backup foi removido e a configuração corrigida em menos de uma semana após a notificação.
O caso ressalta o risco persistente de erros humanos ou de configuração em ambientes de nuvem corporativa. Um único ajuste de permissão, como uma Lista de Controle de Acesso (ACL) mal configurada, pode revelar dados críticos para qualquer pessoa na internet. Especialistas destacam que a visibilidade constante e a automação de supervisão da superfície de ataque são medidas essenciais para prevenir exposições dessa magnitude.
