De um arquivo à exposição total: o arquivo.git do fornecedor vaza código-fonte, segredos e mais de 1 milhão de registros de PII de gigantes automotivos

Plataforma de segurança da cadeia de suprimentos da CloudSEK, St. Vigil, descobriu um grave erro de configuração na infraestrutura de desenvolvimento de um provedor líder de serviços de assistência rodoviária e suporte de seguros. Este fornecedor trabalha com principais fabricantes automotivos, concessionárias e seguradoras em toda a Índia, gerenciando dados confidenciais de clientes e comerciantes para milhares de solicitações de serviços relacionados a veículos todos os meses.

Um repositório.git configurado incorretamente exposto 20 GB de dados confidenciais, incluindo detalhes do comerciante de veículos, informações de identificação pessoal (PII) do cliente, registros financeiros, documentos operacionais e credenciais de acesso críticas. A violação também revelou código-fonte completo para portais eletrônicos internos usado para atender clientes e processar transações.

‍

A descoberta: uma porta digital aberta

CloudSEKs St. Vigil, nossa plataforma de segurança digital da cadeia de suprimentos, verifica continuamente a Internet pública em busca de ativos expostos e configurações incorretas de seu fornecedor. Durante uma verificação de rotina, a SviGil sinalizou uma vulnerabilidade crítica em dois subdomínios principais pertencentes ao fornecedor: um acessível ao público pasta.git.

Uma pasta.git é como o diagrama mestre de um projeto. Ele contém o código-fonte inteiro e seu histórico de revisões. Expor essa pasta equivale a deixar os planos arquitetônicos, as combinações seguras de segurança e as chaves mestras da sede corporativa em uma calçada pública.

A descoberta foi imediata e as implicações foram graves. A exploração dessa falha não exigiu nenhuma invasão sofisticada. Um atacante poderia utilize uma ferramenta prontamente disponível, como o Git Dumper, para recuperar o objeto git e descompactá-lo em arquivos individuais. Essa ação simples clonaria o código-fonte completo, dando a eles acesso sem precedentes ao funcionamento interno dos portais eletrônicos comerciais da empresa.

‍

Principais conclusões: uma cascata de exposições críticas

A pasta.git exposta não era apenas um único vazamento; era uma porta de entrada para uma cascata de falhas críticas, colocando a empresa, seus parceiros e seus clientes em perigo imediato.

1. Compromisso completo de código-fonte e segredos - Os invasores poderiam obter acesso ao código-fonte completo dos portais eletrônicos da empresa. Codificados diretamente nesse código estavam segredos essenciais, incluindo:

• Credenciais de e-mail (SMTP): As credenciais de vários provedores de serviços SMTP foram expostas, permitindo que os invasores enviassem e-mails como a empresa, abrindo caminho para ataques de phishing hiper-realistas e devastadoramente eficazes.

‍

• Segredos do gateway de SMS: Foram encontrados segredos válidos para o envio de mensagens de texto, permitindo que os invasores se passassem pela empresa via SMS, um canal de comunicação altamente confiável.

• Tokens de gateway de pagamento: Tokens altamente sensíveis para uma empresa principal gateway de pagamento foram codificados. Eles poderiam ser explorados para gerar transações falsas, impactando diretamente as finanças da empresa.
• Credenciais do banco de dados em nuvem: Credenciais para a liderança da empresa Serviço de banco de dados relacional do provedor de serviços de nuvem foram expostos, arriscando um comprometimento total de sua infraestrutura de banco de dados em nuvem.

2. Exposição massiva de dados pessoais e financeiros - A violação foi muito além dos segredos técnicos. Ele expôs um tesouro de informações de identificação pessoal (PII) e documentos financeiros confidenciais pertencentes a mais de 6.700 comerciantes de veículos e seus clientes. Os dados expostos incluíram:

• PII do cliente: Nomes completos, endereços, números de celular e detalhes do veículo.
• Documentos confidenciais do comerciante: Acabou 6.000 cheques cancelados digitalizados, 6.000 certificados de imposto sobre serviços, e 6.000 documentos oficiais de registro.
• Documentos oficiais de identificação: Acabou 2.000 cartões PAN digitalizados (O equivalente da Índia a um número de previdência social) e fotografias de revendedores.

‍

‍

Impacto nos negócios

O escopo e a profundidade da violação ressaltam a seriedade da segurança da cadeia de suprimentos para qualquer organização que dependa de fornecedores externos:

• Phishing e falsificação de identidade em grande escala - Os invasores poderiam explorar as credenciais vazadas de e-mail e SMS para se passar por equipes de suporte, enviar comunicações fraudulentas e lançar campanhas de phishing direcionadas diretamente aos clientes, aparecendo como avisos de serviço autênticos.
• Roubo de identidade e fraudes financeiras - A exposição de tokens de pagamento e registros de cobrança permite que os invasores iniciem transações financeiras não autorizadas, como reembolsos falsos, pagamentos falsos a comerciantes ou manipulações nas atividades de registro de veículos.
• Consequências da violação massiva de dados - O acesso ao código-fonte completo e às credenciais do banco de dados permite uma exploração profunda: preenchimento de credenciais, roubo de dados confidenciais de clientes e criação de ataques personalizados contra compradores e comerciantes de veículos.
• Roubo de identidade e falsificação de documentos - Documentos confidenciais — imagens de revendedores, certificados governamentais (incluindo PAN e registro) — criam oportunidades diretas de fraude e falsificação de identidade, arriscando problemas regulatórios e perdas a longo prazo.
• Danos operacionais e de reputação - As próprias organizações que confiam nesse fornecedor para obter comunicações e conformidade seguras — revendedores, compradores, parceiros de seguros — enfrentam severa erosão da confiança, penalidades regulatórias e possíveis interrupções nos negócios.

‍

Recomendações

• Artefatos de desenvolvimento seguro — As pastas.git, os arquivos de ambiente e os arquivos de configuração nunca devem ser expostos na produção.
• Alterne e proteja as credenciais — Chaves e tokens codificados são um alvo de alto valor para os atacantes.
• Monitore seus fornecedores — Sua segurança é tão forte quanto o elo mais fraco da sua cadeia de suprimentos.
• Aja antes que os atacantes o façam — A detecção passiva e o monitoramento em tempo real são essenciais para evitar violações antes que elas aumentem.

‍

A vantagem do SviGil: proteção proativa que compensa

Esse incidente ressalta o valor do monitoramento contínuo de riscos de fornecedores e terceiros. O SviGil sinalizou e continha uma vulnerabilidade de alto impacto que poderia ter afetado milhares de transações em várias marcas e setores.

Ao descobrir a vulnerabilidade antes que agentes mal-intencionados o fizessem, a SVigil evitou a manipulação de dados em tempo real, fraudes de reembolso e abusos mais amplos do sistema.

No mundo da confiança digital, a prevenção não é apenas melhor — não tem preço.

Sobre o CloudSEK
O CloudSEK é uma plataforma digital unificada de gerenciamento de riscos que aproveita a IA e o aprendizado de máquina para fornecer inteligência de ameaças em tempo real, monitoramento da superfície de ataque e segurança da cadeia de suprimentos em empresas em todo o mundo.

‍