Pesquisa: alugar espaços na nuvem pode causar vazamento de dados

Listen to this article

Atualmente, a computação em nuvem permite às empresas contratarem servidores da mesma forma que alugam espaços de trabalho. Um estudo da Penn State University, na Pensilvânia (EUA), no entanto, aponta que esta forma de hospedagem na nuvem possui alta vulnerabilidade, colocando sob risco de vazamento dados confidenciais de usuários e organizações que deveriam ser privados.

De acordo com a pesquisa, o principal risco de vazamento vem de uma prática chamada cloud squatting (veja no vídeo abaixo). Isso acontece quando uma empresa (um banco, por exemplo) contrata temporariamente um endereço IP ou um espaço na nuvem — uma prática bastante comum — em um servidor público como a Amazon ou o Google para enviar dados.

Assim que há a liberação do espaço, o servidor pode ceder a capacidade para uma segunda empresa. O problema é que, se esta última tiver más intenções, ela pode receber os dados confidenciais enviados ao endereço usado pela companhia original e usá-la a favor para praticar crimes como roubo de identidade ou dados financeiros.

“Quando as organizações param de usar um servidor em nuvem, mas não removem as referências ao endereço IP de seus sistemas, os usuários podem continuar enviando dados para esse endereço, pensando que estão falando com o serviço original”, relata Eric Pauley, um dos pesquisadores envolvidos no projeto, em publicação divulgada no blog The Conversation. “Por confiarem no serviço que usava o endereço anteriormente, os dispositivos dos usuários enviam automaticamente informações como localização GPS, dados financeiros e histórico de navegação.”

Informações confidenciais como localização de GPS e transações financeiras foram rastreadas

Para entender como o vazamento de dados poderia funcionar num sistema de computação em nuvem, os pesquisadores configuraram uma série de servidores na Amazon AWS, que atende a costa leste dos Estados Unidos. O aluguel durava 10 minutos: eles recebiam informações enviadas ao endereço destinado aos antigos inquilinos e mudavam para outro local do servidor, repetindo o processo. Nenhum dado foi solicitado ou enviado.

Na operação, eles conseguiram “abrir mais de três milhões de servidores recebendo 1,5 milhão de endereços IP exclusivos em 101 dias”. Servidores em nuvem e de nomes de domínio (DNS) foram considerados potenciais fontes de violação de segurança, segundo o estudo. Entre os dados recebidos, a equipe verificou várias informações confidenciais, como localizações de GPS, transações financeiras e dados pessoais.

“Por exemplo, as solicitações recebidas por um de nossos endereços IP foram para o site de Saúde e Serviços Humanos, o HHS.gov”, explica o pesquisador Patrick McDaniel, professor de Informação e Tecnologia de Comunicações na Penn State. “Não interagimos mais, mas outros poderiam fingir ser um serviço de HHS e fazer com que as pessoas interagissem.”

Segundo McDaniel, a pesquisa foi realizada de acordo com o programa de relatórios de vulnerabilidade da Amazon. Após a finalização do estudo, eles imediatamente contaram os três principais serviços de nuvem (AWS, Microsoft e Google) para informá-los sobre a possibilidade de vazamento de dados.

4

origem: Pesquisa: alugar espaços na nuvem pode causar vazamento de dados – Olhar Digital

Sirlei Madruga de Oliveira

Editora do Guia do CFTV

 sirlei@guiadocftv.com.br

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br

Sirlei Madruga

Sirlei Maria Guia do CFTV

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.