Mais de 80 Mil Arquivos Sensíveis com Senhas e Chaves Vazados na Internet: Alerta para Empresas Brasileiras e Globais

De repente, suas senhas de banco, chaves de acesso a nuvens e até dados de clientes ficarem expostos para qualquer hacker? Pois é, isso aconteceu de verdade! Uma empresa de cibersegurança chamada watchTowr Labs descobriu mais de 80 mil arquivos sensíveis vazados em ferramentas online populares que todo desenvolvedor usa para formatar códigos. E o pior: governos, bancos, hospitais e até seguradoras – incluindo possivelmente instituições brasileiras – estão no meio dessa bagunça.

Se você é dev, gerente de TI ou dono de empresa no Brasil, esse é o momento de checar se sua equipe está cometendo o mesmo erro. Vamos destrinchar o que rolou, por que isso é um problemão e como se proteger. Fique ligado, porque a segurança digital não espera!

O Que Foi Vezado? Uma Mina de Ouro para Hackers

As ferramentas em questão são o JSONFormatter e o CodeBeautify, sites superpopulares para “embelezar” e validar códigos JSON ou outros formatos. Todo mundo cola um pedacinho de código ali para resolver um bug rapidinho, né? O problema é que muita gente – sem querer, claro – cola arquivos inteiros cheios de segredos de sistemas em produção.

A watchTowr vasculhou esses sites e achou um tesouro de dados vazados:

• Credenciais de Active Directory: Senhas de rede corporativa.
• Chaves de repositórios de código: Como chaves do GitHub, que dão acesso a códigos privados.
• Detalhes de bancos de dados: Strings de conexão que abrem portas para invasões.
• Chaves de nuvem e FTP: Acesso a AWS, Azure e servidores de arquivos.
• Configurações LDAP e API keys: Incluindo chaves de helpdesk e até gravações de sessões SSH (aquelas conexões remotas seguras… ou não).

No total, mais de 5 GB de dados, com histórico de 5 anos do JSONFormatter e 1 ano do CodeBeautify. E quem tá na lista de afetados? Empresas de infraestrutura nacional, agências governamentais, bancos grandes, seguradoras, techs, varejo, aviação, telecoms, hospitais, universidades e até empresas de cibersegurança. No Brasil, pense em bancos como Itaú ou Bradesco, ou até órgãos públicos – ninguém tá imune.

“Essas ferramentas bombam no Google quando você busca ‘embelezar JSON’ ou ‘onde colar códigos seguidos’. São usadas em empresas e projetos pessoais”, alertou Jake Knott, pesquisador da watchTowr, em um post no blog da empresa, publicado nesta terça-feira.

Hackers Já Estão no Rolo: Testes e Exploração em Tempo Real

Não é só teoria: os caras maliciosos já estão lucrando com isso. A watchTowr fez um teste simples – subiu chaves falsas da AWS em uma dessas plataformas – e, em menos de 48 horas, hackers tentaram usá-las para abusar da conta. “Alguém já tá explorando isso, e é burrice total. Em vez de mais IAs espertas, precisamos de menos empresas colando credenciais em sites aleatórios”, ironizou Knott.

Os vazamentos se espalharam para GitHub, workspaces do Postman e containers do DockerHub. Exemplos reais incluem:

• Segredos do Jenkins (ferramenta de automação).
• Arquivos criptografados de uma firma de cibersegurança.
• Dados de “Conheça Seu Cliente” (KYC) de bancos.
• Credenciais AWS ligadas a um Splunk de uma grande bolsa financeira.

No Brasil, onde o roubo de dados é crime federal (Lei 13.853/2019, LGPD), isso pode gerar multas pesadas do ANPD e processos judiciais. Já pensou um vazamento assim afetando o Pix ou dados do SUS?

As Ferramentas Reagiram… Mas Tarde Demais?

Em setembro, quando a watchTowr avisou, os sites desabilitaram a função de “salvar” conteúdos. O JSONFormatter disse que “está trabalhando para melhorar”, e o CodeBeautify prometeu “medidas avançadas de prevenção de conteúdo NSFW (não seguro para o trabalho)”. Mas o estrago já tá feito – anos de dados soltos na web.

Falha na HashiCorp Pode Piorar Tudo

Enquanto isso, a HashiCorp (gigante de infraestrutura em nuvem, usada por muita empresa brasileira) achou uma brecha no seu Vault Terraform Provider (versões 4.2.0 a 5.4.0). É uma config padrão insegura no LDAP que permite autenticação anônima – ou seja, hackers pulam a senha se o servidor LDAP permitir binds anônimos.

A HashiCorp, de São Francisco (e parceira de IBM), já corrigiu, mas se você usa isso, atualize agora! No Brasil, com a migração para nuvem acelerada pós-pandemia, isso afeta de fintechs a indústrias.

Como se Proteger? Dicas Práticas para Brasileiros

Não entre em pânico, mas aja! Aqui vai um checklist rápido para blindar sua empresa ou setup pessoal:

1. Audite seus devs: Treine a galera para NUNCA colar configs reais em sites públicos. Use ferramentas offline como VS Code extensions.
2. Monitore chaves: Rode scans com ferramentas como o TruffleHog ou o próprio watchTowr para caçar segredos vazados.
3. Ative 2FA e rotação de senhas: No Brasil, com o aumento de phishing (dados da Serasa), isso é essencial.
4. Atualize tudo: Cheque providers como HashiCorp e use secrets managers (Vault, AWS Secrets Manager).
5. Reporte vazamentos: Se achar algo, avise a ANPD (via site) ou use o CERT.br para suporte nacional.

A cibersegurança não é luxo – é sobrevivência. Com o Brasil na mira de ciberataques (lembra do ataque ao Ministério da Saúde em 2021?), fique esperto. Compartilhe esse artigo com seu time e marque um café virtual para discutir políticas de segurança.

Fonte: cryptopolitan