AWS: credenciais em bucket S3 público permitem comprometimento de cloud em 8 minutos

Em novembro de 2025, o Sysdig Threat Research Team publicou análise de um ataque observado em tempo real: um atacante identificou credenciais AWS de teste deixadas em um bucket S3 público e em apenas 8 minutos havia assumido controle completo do ambiente de cloud associado, incluindo criação de novos usuários IAM e acesso a outros buckets de dados sensíveis.

No mesmo período, a Qualys documentou o caso de uma grande montadora da Ásia do Sul que expôs dezenas de terabytes de dados sensíveis de clientes e infraestrutura por meio de credenciais AWS codificadas em repositórios públicos de código-fonte, combinadas com IAM roles com permissões excessivamente amplas (acesso irrestrito de leitura e escrita ao S3).

O relatório Verizon DBIR 2025 identificou misconfigurações como a categoria de erro mais comum em violações de dados, presente em 12% de todos os incidentes. O relatório Cloud Threat Report 2025 da Palo Alto Unit 42 revelou que 99% dos usuários, roles e recursos em cloud possuem permissões além do necessário para suas funções.

Equipes de segurança em cloud devem: escaneamento contínuo de repositórios em busca de credenciais expostas (usando ferramentas como git-secrets, truffleHog), aplicação do princípio do menor privilégio em IAM, rotação automática de credenciais, habilitação do CloudTrail e alerta para criação de usuários IAM ou modificações de políticas fora do processo normal.

Fonte: Sysdig Threat Research / HackRead.