UM Ernest & Young (EY), empresa global de serviços profissionais, sofreu uma exposição de dados significativa em 29 de outubro de 2025. O incidente envolveu um arquivo de backup de um Servidor SQL com4 terabytes de tamanho, encontrado publicamente acessível na plataforma Microsoft Azure.
A descoberta foi feita por pesquisadores de segurança da Neo Segurança durante o mapeamento de rotina de superfície de ataque. A exposição, resultado de um erro de configuração de acesso, pode ter permitido o acesso a informações corporativas sensíveis, incluindo registros financeiros, credenciais de usuários e fichas de autenticação pertencente a grandes corporações.
O arquivo identificado como um backup de banco de dados (.BAK), não continha apenas esquemas e procedimentos armazenados, mas potencialmente milhões de chaves de API, fichas sessão, credenciais de usuário, fichas de autenticação em esconderijo e senhas de contas de serviço.
Detalhes da Vulnerabilidade e Resposta
Ocorreu uma falha na infraestrutura de nuvem, onde um único erro de Lista de Controle de Acesso (ACL) alterou as permissões de privado para público no armazenamento do Azul. Uma investigação subsequente feita à Neo Security apontou para a ey.com por meio de pesquisas de registro DNS SOA, confirmando a responsabilidade pela configuração.
A equipe da Neo Security iniciou um processo de divulgação responsável, entrando em contato com a equipe de segurança da EY via LinkedIn, pois não havia um contato de segurança disponível. A resposta da OLHO foi imediato e profissional. Em uma semana, uma equipe de Resposta a Incidentes de Segurança de Computador (CSIRT) da empresa tratou e corrigiu totalmente a exposição.
Importância do Gerenciamento de Superfície de Ataque
O demonstra uma vulnerabilidade fundamental na arquitetura de nuvem: a complexidade da infraestrutura versus a incidência humana. A EY declarou que a falha foi localizada em uma entidade adquirida pela EY Itália e não estava conectado aos sistemas globais da empresa. A organização informou que nenhuma informação de cliente, dada pessoal ou confidencial, foi afetada.
O risco reside na varredura distribuída pela internet que opera continuamente para identificar painéis de dados expostos em segundos. Ó gestão contínua da Superfície de Ataque tornou-se uma necessidade essencial na segurança. A visibilidade intuitiva e adversária é a única defesa viável contra desastres de má configuração de nuvem.
Santiago Pontiroli, Lead Security Researcher (TRU) da Acronis, comentou: “A exposição do banco de dados da Ernst & Young (EY) destaca um dos riscos mais negligenciados em cibersegurança: os backups sem segurança. Os backups costumam ser vistos como tarefas administrativas rotineiras, mas geralmente contêm documentação completa dos sistemas em produção, incluindo credenciais, códigos-fonte, chaves de API e dados de configuração. Quando um backup é liberado online e acessível publicamente, ele pode dar a qualquer pessoa que tenha acesso a todo o ambiente digital. da organização.”
Gerald Beuchelt, CISO da Acronis, acrescenta: “Podemos exigir que ferramentas automatizadas de gestão de configuração para serviços XaaS, como o M365, são cruciais para o monitoramento contínuo da postura geral de segurança de qualquer empresa. Isso incluiria os dados de backup, mas também outras configurações de serviço que podem causar uma interferência adicional ao ambiente geral de segurança.”
