Vazamento pode ter exposto centenas de propriedades da Paramount Pictures, Nickelodeon e mais
Um servidor da Amazon contendo aproximadamente um gigabyte de credenciais e arquivos de configuração pertencentes ao imenso conglomerado de mídia Viacom foi descoberto online e sem segurança, de acordo com UpGuard, uma empresa de “resiliência cibernética” com sede na Califórnia. Um pesquisador de segurança que trabalha para a empresa descobriu o servidor ao léu no mês passado, sem nem uma senha entre ele e a internet pública.
Viacom é uma das mais poderosas empresas de entretenimento e mídia nos EUA. É proprietária de nomes conhecidos como Paramount Pictures, Comedy Central, MTV e outras empresas no mundo todo. Ela também possui centenas de propriedades digitais, além de canais a cabo e um estúdio de cinema. Os dados encontrados no vazamento poderiam ter potencialmente comprometido muitas das propriedades da empresa, de acordo com a UpGuard.
O servidor não continha qualquer informação de cliente ou funcionários, mas se essas credenciais sensíveis tivessem caído em mãos erradas, segundo os pesquisadores, a devastação na Viacom teria sido imensurável. Entre os arquivos expostos, por exemplo, estão a chave de acesso e a chave secreta para a conta corporativa na Amazon Web Services (AWS). Com isso apenas, um intruso poderia ter ganho ainda mais acesso a um número incontável de servidores hospedados pela conta na AWS, que é onde a Viacom disse que planeja hospedar quase toda a sua infra-estrutura. O servidor desprotegido ainda possuía chaves de decodificação GPG, normalmente utilizadas para acessar os tipos de registros e comunicações mais delicados.
“Assim que a Viacom ficou ciente de que informações em um servidor… era acessível ao público, retificamos o problema.”
Em 31 de agosto, a Viacom foi notificada sobre a exposição pelo pesquisador da UpGuard, Chris Vickery, do departamento de risco cibernético, em contato com um executivo da Viacom por telefone. Mais tarde, ele falou por e-mail com o diretor de segurança de informação da empresa e novamente explicou a situação.
Horas mais tarde, o servidor vulnerável foi discretamente protegido.
Em um relatório compilado pela UpGuard, a exposição da Viacom é apresentada como potencialmente “sem precedentes”. Ao contrário da maioria dos servidores inseguros corporativos que a UpGuard tem descoberto –grandes empresas de defesa, empresas de dados GOP e uma empresa privada entre eles –este humilde 1GB de dados Viacom oferece nada menos do que as “chaves para um reino da mídia”, disse a empresa:
“Embora a dimensão global deste repositório exposto seja muito menor do que a de outros vazamentos pesados de dados na nuvem mais recentes, os dados que vazaram da Viacom são de uma significância extrema –lembrando que um vazamento de nuvem não precisa ser grande para ser devastador”.
O servidor da Viacom foi descoberto pela primeira vez por Vickery em 30 agosto. Ele foi reconhecido pelo subdomínio AWS “mcs-puppet”. Setenta e dois arquivos compactados foram encontrados no servidor, o primeiro dos quais foi criado em junho. O último dos arquivos foi criado no dia anterior ao que a Viacom foi notificada. Não está claro exatamente por quanto tempo os arquivos foram expostos ou se qualquer outro ator externo a não ser Vickery teve acesso –somente a Viacom e a Amazon teriam acesso a esses registros.
A menção de “mcs” no subdomínio acredita-se fazer referência a “Serviços de Computador Multiserviço”, da Viacom um grupo que, de acordo com um anúncio de emprego, “oferece suporte à infraestrutura de centenas de propriedades online da Viacom, incluindo a MTV, Nickelodeon, Comedy Central, Paramount e BET”. A equipe também é descrita como sendo responsável por “provisionamento, configuração e monitoramento de milhares de sistemas”. A referência do subdomínio “puppet” se refere a uma parte específica do software utilizado pela Viacom. UpGuard explica a sua pertinência e os riscos envolvidos:
Puppet, comumente usado em ambientes de TI para gerenciamento de configuração, permite às empresas criar novos servidores, permitindo operações simplificadas em escala. Para assegurar que esses servidores se encaixam em todas as especificações internas necessárias, um manifesto Puppet é criado, fornecendo instruções para provisionar um servidor do tipo que são capazes de acessar todos os outros sistemas relevantes –o que significa que o “puppetmaster” [mestre dos puppets] geralmente precisa saber toda as credenciais de acesso relevantes. Imagine uma chave mestra, abrindo não apenas cada porta em uma casa, mas também cada porta que pode ser acrescentada à sua casa. Este é o tipo de acesso mestre que foi exposto publicamente.
Em uma declaração ao Gizmodo na terça-feira, a Viacom procurou diminuir os riscos potenciais colocados pela exposição do seu servidor: “Assim que a Viacom ficou ciente de que a informação de um servidor –incluindo informação técnica mas nenhuma informação de funcionários ou clientes– estava disponível ao acesso público, nós corrigimos a questão “, disse um porta-voz da empresa. “Analisamos os dados em questão e determinamos que não houve impacto material”.
A UpGuard recusou comentar mais sobre a resposta da Viacom. “Nosso relatório deve falar por si”, disse Vickery.
Os hacks devastadores na HBO e Sony ilustram o quanto uma empresa de mídia pode sofrer de uma intrusão maliciosa. Dados proprietários e comunicação corporativa da Sony se tornou assunto de agências de notícias durante semanas. O hack da HBO foi de certa forma pior, expondo cerca de 1.5 terabytes de dados, incluindo informações de funcionários e roteiros de seu programa de maior audiência, Game of Thrones.
A Viacom não mencionou ter detectado qualquer invasão, nem vimos qualquer evidência até agora de que isso tenha acontecido. Não há nenhuma maneira da UpGuard saber, no entanto; somente a Amazon e a Viacom deveriam ter acesso a esse tipo de registros.