Incidentes e Vulnerabilidades
Capital One, Equifax, Log4Shell, Heartbleed, XZ — violações e vulnerabilidades públicas detalhadas em causa, impacto, primeira resposta e prevenção, pelas lições que ainda valem.
Vazamento em massa do MOVEit (2023) — como um zero-day de SQL injection alcançou mais de 2.700 organizações, e como se defender
A entrada foi um zero-day de SQL injection (CVE-2023-34362) no MOVEit Transfer, exposto à internet. Um web shell (LEMURLOOT) foi plantado e dados foram roubados em massa do banco de dados de retaguarda, atingindo mais de 2.700 organizações e cerca de 93,3M de pessoas. A maioria das vítimas foi arrastada indiretamente porque um fornecedor usava o MOVEit. No seu ambiente: patch rápido de KEV, minimizar a exposição, menor privilégio e segmentação entre web↔DB, inventário de fornecedores e minimização de dados.
Vazamento da Capital One (2019) — como um SSRF expôs mais de 100M de registros, e como se defender
Um único SSRF alcançou o endpoint de metadados → credenciais IAM temporárias com privilégios excessivos → cópia em massa do S3, vazando cerca de 106M de registros. Cada salto poderia tê-lo interrompido. No seu ambiente: IMDSv2, IAM de menor privilégio e uma allowlist para requisições de saída.
Vazamento da Codecov (2021) — quando uma 'ferramenta confiável' no CI foi sequestrada e segredos vazaram
Uma ferramenta de CI confiável (o Bash Uploader curl|bash) foi alterada na origem. Como o seu próprio código permaneceu intocado, passou despercebido por cerca de 2 meses enquanto segredos de CI vazavam; uma verificação de checksum o pegou. No seu CI: verifique artefatos baixados, segredos de menor privilégio, rotação, monitoramento de egress.
Vazamento da Equifax (2017) — como uma falha não corrigida no Apache Struts expôs 147M de pessoas
A causa foi um CVE conhecido e já corrigido (CVSS 10.0) deixado sem aplicar em um sistema público. Um certificado de monitoramento expirado ocultou a exfiltração por 76 dias. No seu ambiente: inventário de ativos, um SLA de patch, monitoramento por máquina e detecção saudável.
Heartbleed (CVE-2014-0160) — quando memória vazou da base do tráfego criptografado
A leitura excessiva de memória do OpenSSL podia vazar chaves privadas e sessões. A causa: o servidor confiava num comprimento alegado e lia a memória adjacente. A lição: aja como se tudo tivesse vazado — reemita certificados, rotacione todos os segredos — além do peso do software de base e da segurança de memória.
Log4Shell (CVE-2021-44228) — a noite em que o mundo temeu um bug que nem conseguia confirmar ter
O bug CVSS 10.0 do Log4j. O verdadeiro medo era a dependência transitiva — ser afetado por uma biblioteca que você nem sabia que usava. Um caminho passivo de logs virou vetor de ataque. SBOM, monitoramento por máquina, patch rápido e acompanhar os CVEs de continuação são as lições.
O backdoor do XZ Utils (CVE-2024-3094) — quando a própria confiança era o alvo
Um mantenedor confiável plantou um backdoor no xz — um ataque à cadeia de suprimentos. O 'isto parece lento' de um engenheiro o pegou pouco antes da versão estável. O alvo não era o código — eram as pessoas e a confiança. Minimize dependências, fixe versões, faça builds reprodutíveis, persiga anomalias e apoie os mantenedores.