Falha de configuração de nuvem expõe 4TB de dados da EY

A Ernst & Young (EY), empresa global de serviços profissionais, sofreu uma exposição de dados significativa em 29 de outubro de 2025. O incidente envolveu um arquivo de backup de um SQL Server com 4 terabytes de tamanho, encontrado publicamente acessível na plataforma Microsoft Azure.

A descoberta foi feita por pesquisadores de segurança da Neo Security durante mapeamento de rotina de superfície de ataque. A exposição, resultado de um erro de configuração de acesso, pode ter permitido o acesso a informações corporativas sensíveis, incluindo registros financeiros, credenciais de usuários e tokens de autenticação pertencentes a grandes corporações.

O arquivo, identificado como um backup de banco de dados (.BAK), não continha apenas esquemas e procedimentos armazenados, mas potencialmente milhões de chaves de API, tokens de sessão, credenciais de usuário, tokens de autenticação em cache e senhas de contas de serviço.

Detalhes da Vulnerabilidade e Resposta

A falha aconteceu na infraestrutura de nuvem, onde um único erro de Lista de Controle de Acesso (ACL) alterou as permissões de privado para público no armazenamento do Azure. A investigação subsequente permitiu à Neo Security apontar para a ey.com por meio de pesquisas de registro DNS SOA, confirmando a responsabilidade pela configuração.

A equipe da Neo Security iniciou um processo de divulgação responsável, entrando em contato com a equipe de segurança da EY via LinkedIn, pois não havia um contato de segurança prontamente disponível. A resposta da EY foi imediata e profissional. Em uma semana, a equipe de Resposta a Incidentes de Segurança de Computador (CSIRT) da empresa tratou e corrigiu totalmente a exposição.

Importância do Gerenciamento de Superfície de Ataque

O incidente demonstra uma vulnerabilidade fundamental na arquitetura de nuvem: a complexidade da infraestrutura versus a supervisão humana. A EY declarou que a falha estava localizada em uma entidade adquirida pela EY Itália e não estava conectada aos sistemas globais da empresa. A organização informou que nenhuma informação de cliente, dado pessoal ou dado confidencial foi afetado.

O risco reside na varredura distribuída da internet que opera continuamente para identificar baldes de dados expostos em segundos. O gerenciamento contínuo da Superfície de Ataque tornou-se uma necessidade essencial na segurança. A visibilidade automatizada e adversária é a única defesa viável contra catástrofes de má configuração de nuvem.

Santiago Pontiroli, Lead Security Researcher (TRU) da Acronis, comentou: “A exposição do banco de dados da Ernst & Young (EY) destaca um dos riscos mais negligenciados em cibersegurança: os backups sem segurança. Backups costumam ser vistos como tarefas administrativas rotineiras, mas geralmente contêm cópias completas dos sistemas em produção, incluindo credenciais, códigos-fonte, chaves de API e dados de configuração. Quando um backup é deixado online e acessível publicamente, ele pode dar a qualquer pessoa que o encontre acesso a todo o ambiente digital da organização.”

Gerald Beuchelt, CISO da Acronis, acrescenta: “Podemos acrescentar que ferramentas automatizadas de gestão de configuração para serviços XaaS, como o M365, são cruciais para o monitoramento contínuo da postura geral de segurança de qualquer empresa. Isso incluiria os dados de backup, mas também outras configurações críticas de serviço que podem causar uma deterioração adicional do ambiente geral de segurança.”