Como a SVigil evitou uma violação massiva da cadeia de suprimentos na infraestrutura bancária?

As instituições financeiras confiam em fornecedores terceirizados para plataformas de comunicação e engajamento do cliente, mas essas dependências podem introduzir discretamente sérios riscos de segurança cibernética. A plataforma de monitoramento da cadeia de suprimentos da CloudSEK, SviGil, descobriu credenciais expostas pertencentes a um fornecedor importante de uma grande entidade bancária. Essas credenciais concederam acesso a um portal de comunicação centralizado, expondo dados confidenciais de clientes, gravações de chamadas e infraestrutura crítica em nuvem.

A descoberta oportuna da SviGil permitiu a mitigação proativa de riscos, evitando o uso indevido de configurações confidenciais de nuvem e milhões em créditos operacionais, protegendo a infraestrutura e a confiança do cliente.

A descoberta

Durante a verificação contínua de ameaças relacionadas ao fornecedor, a plataforma SVigil da CloudSek detectou credenciais comprometidas pertencentes a funcionários de um provedor de serviços de comunicação terceirizado. Essas credenciais concederam acesso ao Portal Central, uma interface vital usada para orquestração de campanhas, operações de contact center e configuração de infraestrutura em nuvem.

O acesso exposto levou à descoberta de uma grave violação de dados que afeta entidades bancárias proeminentes, incluindo acesso a sistemas críticos e dados confidenciais do principal banco EntityBank. A violação corria o risco de interrupção operacional, roubo de dados e comunicação não autorizada com os clientes.

Principais descobertas

Plataforma afetada: Portal central de um provedor de serviços de comunicação
Módulos expostos: Fluxos, campanhas, notificações de emergência, relatórios, configuração, contas na nuvem
Exposição crítica:

• USD 3 milhões em saldo de crédito.
• Credenciais para 32 contas de serviços em nuvem na AWS, GCP e Azure.
• Contas de serviço do GCP com privilégios elevados (funções de proprietário/editor).
• Acesso a gravações e transcrições confidenciais de chamadas.
• Capacidade de enviar SMS/e-mail em massa para mais de 50 mil usuários.

‍

Análise técnica

‍

Fonte de credenciais: Despejo de credenciais na dark web.

Características e riscos do portal:

• Visão geral do painel: Visualiza métricas sobre chamadas de entrada/saída, SMS e e-mails.
• Módulo de filas de chamadas: Encaminha chamadas para agentes. O acesso malicioso pode permitir o redirecionamento para call centers fraudulentos.
• Agentes dinâmicos: Adicione/gerencie agentes. Uma violação aqui permite a manipulação total das operações do contact center.
• Fluxos de campanha: Configure fluxos de comunicação, como IVR e discadores automáticos.
• Contas na nuvem: Foram encontradas credenciais para 32 contas na nuvem. As ferramentas do desenvolvedor expuseram arquivos confidenciais, como client.json, com as chaves de serviço do GCP.
• Risco de abuso: Quatro contas tinham acesso no nível do proprietário e uma no nível do editor. Atores mal-intencionados podem exfiltrar ou excluir dados confidenciais e adulterar a infraestrutura.

Contas de serviço do GCP expostas (exemplos):

• sms verificado pelo software do fornecedor
• pcpl-fala para texto
• clique para ligar
• central-awspoc
• Agente de teste-1-MRDMLR

Amostras do pcpl-speech-to-text Storage Bucket:

• Gravações confidenciais de chamadas (por exemplo, discussões sobre empréstimos, solicitações de bloqueio de cartão de débito).

‍

• Transcrições associadas armazenadas em texto simples.

Impacto nos negócios

• Credenciais de funcionários expostas: Os agentes de ameaças aproveitaram as credenciais vazadas para obter acesso não autorizado aos sistemas e painéis internos.
• Acesso inseguro ao armazenamento em nuvem: Ativos confidenciais, como gravações e transcrições de chamadas, ficaram expostos em compartimentos de nuvem sem controles de acesso adequados.
• Uso indevido da conta de serviço privilegiado: As contas de serviço de alto privilégio do GCP estavam acessíveis, aumentando a probabilidade de exfiltração de dados e comprometimento da infraestrutura.
• A falha do EDR permite acesso não autorizado: As soluções de Detecção e Resposta de Endpoints (EDR) falharam em detectar padrões de acesso anormais, permitindo a atividade persistente dos agentes de ameaças.
• A falta de MFA aumenta os riscos de ataques de credenciais: A ausência de autenticação multifator (MFA) no portal do fornecedor aumentou o risco de ataques bem-sucedidos baseados em credenciais.

‍

Recomendações de segurança da SviGil

• Revogação imediata da credencial: Todas as credenciais de funcionários expostas devem ser imediatamente revogadas para evitar o acesso não autorizado.
• Fortaleça as configurações de segurança na nuvem: Proteja os recursos da nuvem aplicando políticas sólidas de controle de acesso, removendo credenciais codificadas e criptografando arquivos confidenciais.
• Reforce os controles de acesso à nuvem: Analise e restrinja as funções do Cloud IAM; minimize o uso de funções de alto privilégio, como proprietário ou editor.
• Implante o EDR para evitar a persistência não autorizada: Garanta que um sistema EDR robusto esteja instalado para detectar, bloquear e alertar sobre comportamento suspeito do usuário e acesso anômalo.‍
• 2FA obrigatório em todos os portais confidenciais: Aplique a autenticação multifator para todos os usuários que acessam infraestruturas e painéis confidenciais para reduzir a probabilidade de abuso de credenciais.