Recentemente, pesquisadores de segurança detectaram uma falha de senso comum com consequências reais: aplicativos web projetados para treinamento e testes - como DVWA, OWASP Juice Shop, Hackazon ou bWAPP - estavam acessíveis da Internet em contas de nuvem com privilégios elevados, e os atacantes não tardaram em usá-lo. O que em muitos equipamentos é usado para ensinar técnicas de hacking ou validar controles foi exposto como uma porta traseira para ambientes produtivos em fornecedores como AWS, Google Cloud e Azure.
O achado, documentado pelos laboratórios de Pentera e recolhidos por meios especializados, revela que havia centenas e centenas de instâncias vivas dessas aplicações deliberadamente vulneráveis publicadas na rede pública. De acordo com os dados da pesquisa, foram localizados perto de 1.926 aplicações de teste expostas, e uma proporção significante delas anunciava credenciais de nuvem ou era acompanhada de papéis com privilégios excessivos, rompendo a regra básica do “menor privilégio”. Você pode revisar o trabalho dos pesquisadores na página dos laboratórios de Pentera: Pentera Labs, e o acompanhamento jornalístico em BleepingComputer.
Isto não é teoria: os analistas encontraram provas de exploração ativa. Em múltiplas instâncias aprovaram artefatos maliciosos — desde mineiros de criptomoedas até webshells — que demonstravam um compromisso real. No conjunto de instâncias DVWA analisadas, por exemplo, aproximadamente 20% continha vestígios de atividade maliciosa. Os atacantes usaram ferramentas como XMRig para minar Monero e implantaram mecanismos para se manterem em máquinas afetadas, entre eles um programa de persistência que se restaurava a si mesmo e descarregava o mineiro a partir de repositórios públicos. O projeto XMRig está documentado publicamente no seu repositório: XMRig no GitHub.
Além do minado, os incidentes documentados incluíam a instalação de um webshell PHP denominado filemanager.php que permitia ler, escrever, apagar, baixar e executar comandos no sistema. O código do webshell guardava credenciais embebidas e, curiosamente, tinha o fuso horário ajustado para Europe/Minsk, um detalhe que os pesquisadores apontaram como possível pista sobre a proveniência dos operadores.
Como se chegou a isto? Em muitos casos, as aplicações de testes foram implementadas em contas de nuvem associadas a papéis com permissões amplas, sem aplicar o princípio de menor privilégio, e mantiveram credenciais por defeito ou sem rotação. Ou seja, três erros clássicos foram combinados: expor um ambiente de testes à Internet, não restringir o acesso na nuvem e não gerenciar credenciais corretamente. As credenciais encontradas pelos pesquisadores poderiam ter permitido a um atacante ler e escrever em armazéns de objetos como S3, GCS ou Azure Blob, acessar segredos gerenciados, interagir com registros de contêineres ou até escalar administradores da conta.
As empresas afetadas identificadas no estudo incluem nomes reconhecidos entre a Fortune 500 e os fornecedores de segurança, que foram notificados e procederam a remediar as incidências após o aviso. O episódio sublinha que mesmo organizações com boa prática em muitas frentes podem tropeçar no manejo de ambientes não produtivos.
A lição prática é simples e urgente: os ambientes de teste devem ser tratados com pelo menos o mesmo cuidado que os sistemas em produção. Isso passa por manter um inventário completo de recursos na nuvem — incluindo laboratórios, demos e máquinas de formação — e por isolá-los dos ambientes críticos. Também é imprescindível aplicar papéis com privilégios mínimos, alterar qualquer credencial por defeito e configurar caducidades automáticas para recursos temporários. Os provedores de nuvem mantêm guias detalhados sobre boas práticas de gerenciamento de identidades e acessos que convém seguir, como a documentação do IAM da AWS: Boas práticas do IAM (AWS), o guia do IAM do Google Cloud: IAM (Google Cloud) e recursos de controle de acesso no Azure: Azure Active Directory.
Em termos de detecção e resposta, convém monitorizar padrões típicos de abuso: uso incomum de CPU e rede (que pode delatar mineração), downloads de lugares não habituais (por exemplo, repositórios públicos ou serviços de armazenamento em nuvem), criação de processos persistentes e presença de arquivos ou scripts com conteúdo codificado em base64. Também é recomendável auditar o acesso a gestores de segredos e a depósitos de imagens de contêineres, e revisar logs de configuração e implantação para detectar instâncias que não deveriam ser públicas.
Se a sua equipe mantiver ambientes para testes ou formação, revisar modelos e processos de implantação é uma prioridade. Ferramentas e projetos destinados a ensinar segurança como DVWA, OWASP Juice Shop ou bWAPP São recursos valiosos, mas o seu uso em ambientes ligados a contas de alto privilégio sem controles adequados converte uma ferramenta didática em um risco quase garantido.
A história também deixa um aviso maior: a segurança não é apenas tecnologia, é disciplina operacional. Manter um inventário, aplicar políticas de menor privilégio, rotar credenciais, automatizar caducidades e segmentar redes e contas são controles básicos que, quando falham, têm consequências tangíveis. Para aprofundar a natureza dessas ameaças e a pesquisa por trás do achado, você pode ler os materiais públicos dos pesquisadores e seguir a cobertura especializada em meios tecnológicos de confiança.
No final, a moral é clara: não subestime o que uma aplicação “de laboratório” pode fazer quando combinada com uma conta de nuvem com permissões excessivas. O que começa como um ambiente de testes pode terminar sendo a via de entrada para cripto-minado, persistência maliciosa ou, pior, o salto para ativos sensíveis da organização.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...