Fuga de chaves cloud
O que é Fuga de chaves cloud?
Fuga de chaves cloudExposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
Uma fuga de chaves cloud ocorre quando credenciais de longa duracao (AWS access key IDs e secret access keys, chaves de conta Azure Storage ou ficheiros JSON de service account GCP) sao submetidas a repositorios git publicos, incorporadas em bundles web ou moveis, embutidas em imagens de contentor ou impressas em logs verbosos. Scanners automatizados de atacantes e investigadores detetam as chaves em segundos e invocam de imediato operacoes API para iniciar computacao, exfiltrar dados ou escalar privilegios. Defesas combinam scanning de segredos pre-commit (gitleaks, trufflehog), detecao do provedor (AWS, GitHub secret scanning), credenciais federadas de curta duracao via OIDC, playbooks de revogacao imediata e alertas CloudTrail.
● Exemplos
- 01
Chaves AWS com prefixo AKIA enviadas para um repositorio GitHub publico e exploradas em cinco minutos para mineracao.
- 02
Um JSON de service account GCP fugado num bundle frontend usado para extrair um dataset BigQuery.
● Perguntas frequentes
O que é Fuga de chaves cloud?
Exposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Fuga de chaves cloud?
Exposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
Como funciona Fuga de chaves cloud?
Uma fuga de chaves cloud ocorre quando credenciais de longa duracao (AWS access key IDs e secret access keys, chaves de conta Azure Storage ou ficheiros JSON de service account GCP) sao submetidas a repositorios git publicos, incorporadas em bundles web ou moveis, embutidas em imagens de contentor ou impressas em logs verbosos. Scanners automatizados de atacantes e investigadores detetam as chaves em segundos e invocam de imediato operacoes API para iniciar computacao, exfiltrar dados ou escalar privilegios. Defesas combinam scanning de segredos pre-commit (gitleaks, trufflehog), detecao do provedor (AWS, GitHub secret scanning), credenciais federadas de curta duracao via OIDC, playbooks de revogacao imediata e alertas CloudTrail.
Como se defender contra Fuga de chaves cloud?
As defesas contra Fuga de chaves cloud costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Fuga de chaves cloud?
Nomes alternativos comuns: Fuga de chaves AWS, Fuga de credenciais cloud.
● Termos relacionados
- cloud-security№ 190
Roubo de tokens na nuvem
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
- cloud-security№ 505
Escalonamento de privilegios IAM
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- cloud-security№ 182
Cryptojacking na nuvem
Uso nao autorizado dos recursos de computacao na nuvem da vitima para minerar criptomoedas, gerando faturas elevadas enquanto o atacante recebe as recompensas.
- cloud-security№ 183
Exfiltracao de dados na nuvem
Copia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.
● Veja também
- № 079Ataque a AWS IMDSv1
- № 255Finding CSPM