A Varonis divulgou os resultados do Relatório de Riscos em Serviços SaaS 2021, cuja análise foi feita sobre mais de 200 mil credenciais e centenas de milhares de ativos na nuvem em serviços como Google, Box, GitHub, Zoom, Slack, Salesforce, AWS e Amazon S3.

Segundo o estudo, 43% das credenciais abandonadas estão expostas e podem ser facilmente usadas por criminosos para roubo de informações, o que pode levar a uma onda ransomware na captura de dados da nuvem. “O problema é que os últimos 15 meses levaram as empresas a adotar serviços na nuvem cujo gerenciamento de credenciais pode ou não estar integrado aos serviços como o AD, aumentando a complexidade de gestão de identidade por parte dos times de TI”, avalia Carlos Rodrigues, vice-presidente da Varonis para Latam. “No Brasil, ainda há o agravante das punições impostas pela LGDP a vazamentos de informações”, explica o executivo.

Outro ponto que aumenta o risco desses ambientes é o fato de que quase a metade das credenciais são utilizadas por serviços, tais como APIs, aplicações serverless, máquinas virtuais, entre outras. Ao contrário das credenciais utilizadas por seres humanos, esses dados de login estão comprometidos 24 horas por serem usados o tempo todo e, geralmente, não são inspecionados nas rotinas de segurança.

Segundo a pesquisa, ao menos 20% dos usuários de serviços na nuvem têm acesso a dados privilegiados, e 44% das credenciais têm privilégios configurados incorretamente. “A nuvem apaga os limites entre contas pessoais e corporativas e usuários não administradores podem quebrar privilégios mínimos com uma ação simples de compartilhamento de arquivos. O risco da nuvem é diretamente proporcional à facilidade que os serviços trazem. Na nuvem, usuários podem copiar, excluir ou expor silenciosamente informações críticas para praticamente qualquer pessoa. E esses dados podem ser desde a sua lista de clientes do Salesforce, até o código-fonte de uma aplicação no GitHub, ou documentos no Box e Google Drive. Por isso, mais do que nunca, gestores de TI têm a obrigação de reforçar a segurança dos ativos de nuvem daqui para frente”, finaliza Rodrigues.