Os ambientes intencionavelmente inseguros — aplicações concebidas para ensinar hacking e testes de penetração — têm sido durante anos uma ferramenta valiosa para aprender, fazer demos e testar controles de segurança. Projectos conhecidos como OWASP Juice Shop, DVWA, bWAPP ou ambientes comerciais de laboratório oferecem cenários onde erros e más práticas podem ser estudados sem riscos... desde que se mantenham confinados.
O problema surge quando esses laboratórios deixam de estar confinados. Investigação recente Pentera Labs detectou um padrão preocupante: instâncias criadas para formação ou demonstração que acabam expostas à Internet, executando-se dentro de contas na nuvem ativas e, o que é mais grave, ligadas a identidades e papéis com permissões excessivas. Essa combinação converte o que deveria ser um ambiente educativo em uma porta de entrada real ao ambiente produtivo.
Os achados são contundentes: Pentera identificou quase dois mil instâncias públicas de aplicativos de treinamento e provou que uma parte importante delas corria sobre infraestrutura gerida pelos próprios clientes nos grandes fornecedores de nuvem - AWS, Azure e Google Cloud. Além disso, em uma fração significativa de casos as equipes encontraram evidências de atividade maliciosa prévia, desde minado de criptomoedas até webshells e mecanismos de persistência.
A lógica do ataque não precisa de sofisticação extrema. Com credenciais por defeito, configurações abertas ou vulnerabilidades conhecidas, um atacante pode tomar controle da aplicação de treinamento e, se essa aplicação estiver ligada a papéis ou identidades com privilégios, pivotar e acessar outros recursos na mesma conta de nuvem. Isso transforma um “sandbox” em um escalão para compromissos de maior alcance.
Esta problemática não é anecdótica nem limitada a pequenas organizações. Pentera observou o padrão em ambientes ligados a grandes empresas e fornecedores de segurança, o que evidencia que o risco afeta tanto organizações com maturidade como aquelas em processo de a melhorar. Marcar um recurso como “de prática” ou “temporal” não o torna invisível para os atacantes nem o isenta de riscos operacionais se for exposto.
Porquê? Em muitos equipamentos de TI e segurança, os ambientes de ensino são considerados de baixo valor e ficam fora de revisões regulares, inventários e sistemas de monitorização. Criam-se rapidamente para um curso ou demo, são usados, e por vezes permanecem ativos durante meses sem quem questiona a sua configuração, as credenciais associadas ou o alcance de seus acessos. Com o tempo, o esquecimento pode se tornar exploração.
Mitigar este tipo de risco exige medidas simples, mas firmes. Primeiro, manter esses ambientes isolados: redes privadas, VPCs separadas ou contas/projectos independentes para sandbox. Segundo, aplicar o princípio de menor privilégio nas identidades e papéis vinculados a laboratórios e demos. Terceiro, automatizar o inventário e a monitorização para detectar recursos expostos publicamente ou imagens com configurações padrão. E quarto, adotar práticas de “lifecycle”: manter rotinas de criação e destruição automáticas para que os ambientes só existam o tempo necessário.
As grandes nuvens oferecem guias e ferramentas para essas práticas: a Amazon publica recomendações de arquitetura e segurança para ambientes em nuvem em seu centro de boas práticas ( AWS Security), a Microsoft mantém extensa documentação sobre a segurança no Azure ( Azure Security) e Google Cloud publica seus controles e recomendações ( Google Cloud Security). Também é útil apoiar-se em normas e recursos comunitários como o OWASP Top Ten para entender vetores de ataque comuns em aplicações web.
Além das configurações e permissões, a superfície pública deve ser monitorizada com ferramentas e serviços de detecção de ativos expostos. Plataformas de busca de dispositivos e serviços conectados, como Shodan, e serviços nativos de inventário da nuvem ajudam a identificar rapidamente instâncias abertas que deveriam permanecer fechadas. A telemetria, os logs e alertas centralizados são vitais para detectar atividade suspeita, desde padrões de CPU indicativos de mineração de criptomoedas até conexões incomuns a metadados da nuvem.
Para equipamentos que oferecem formação, existem alternativas seguras: usar ambientes temporários que se provisionam e destroem automaticamente plataformas de laboratório geridas que ofereçam isolamento de rede por defeito ou implantação de exercício e cenários em contas completamente segregadas sem credenciais compartilhadas com ambientes produtivos. Implementar autenticação forte e não reutilizar credenciais conhecidas por defeito é uma prática básica que evita muitos incidentes.
A lição é clara: a etiqueta de “entrenamento” não reduz o risco técnico. Quando uma aplicação vulnerável fica acessível da Internet e está ligada a identidades com capacidade de interagir com o resto da infraestrutura, passa a fazer parte do perímetro exposto da organização. Proteger esse perímetro exige integrar os ambientes laboratoriais nas mesmas políticas e controles que o resto dos ativos.
Se você quer aprofundar a metodologia e os achados concretos, a pesquisa completa de Pentera está disponível em seu blog e também oferece um seminário web onde explicam o processo de descoberta e evidências observadas: Relatório Pentera Labs e webinar relacionado. Para aqueles que gerem nuvens, consultar os guias oficiais dos fornecedores e alinhar com práticas de segurança reconhecidas é um bom ponto de partida para que um laboratório continue a ser um instrumento de aprendizagem e não uma via de ataque.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...