Um recente estudo da Tenable mostrou que aproximadamente 10% dos ambientes de nuvem pública acessíveis publicamente armazenam informações sensíveis sem proteção adequada. Entre esses, 97% contêm dados classificados como restritos ou confidenciais, elevando o risco de ataques em nuvem a níveis críticos. O levantamento faz parte do Relatório de Riscos de Segurança na Nuvem 2025, evidenciando brechas operacionais que afetam estratégias de transformação digital em empresas de todos os portes.
Segredos embutidos e configuração falha: a combinação perigosa
O estudo aponta que muitos ambientes cloud mantêm “segredos” como senhas, chaves de API e tokens diretamente no código ou em definições de serviços. Notou-se que 54% das organizações com AWS ECS armazenam ao menos um desses segredos em suas configurações, enquanto 52% no Google Cloud Run e 31% no Azure Logic Apps apresentam situação semelhante. Há ainda 3,5% de instâncias EC2 com credenciais expostas nos dados de usuário. Esses vetores facilitam ataques automatizados altamente eficazes.
O relatório identifica também a trilogia de nuvem tóxica: cargas de trabalho expostas publicamente, com vulnerabilidades críticas e privilégios excessivos. Embora esse cenário tenha diminuído de 38% para 29%, ainda representa um risco significativo, cobrindo quase um terço dos ambientes analisados.
Identidades privilegiadas não são suficientes
Embora 83% das empresas na AWS adotem boas práticas de identidade federada com provedores de identidade, permissões excessivas e configurações inseguras ainda persistem. O estudo alerta que o uso de IdP por si só não resolve o problema de permissões mal dimensionadas, com acessos permanentes ou brechas que permitem escalar privilégios a agentes maliciosos.
O caminho dos atacantes
De acordo com o relatório, os métodos de invasão estão evoluindo para explorar essas falhas de forma automatizada. O processo de invasão passou a ser simples: os cibercriminosos escaneiam ambientes expostos, extraem segredos embutidos e usam essas credenciais privilegiadas para avançar em profundidade nas redes corporativas.
A Tenable destaca que a proteção da nuvem exige visibilidade completa, priorização de correção dos problemas e automação no gerenciamento de vulnerabilidades. A nuvem exige uma gestão contínua de riscos, e não uma correção pontual quando a falha já foi exposta.
Por que a nuvem aberta representa risco
Em um momento no qual a nuvem pública se tornou a espinha dorsal da infraestrutura digital, essas vulnerabilidades representam ameaças para dados proprietários, infraestrutura crítica e inteligência artificial. Dados confidenciais em nuvem englobam informações de clientes, estratégias comerciais, modelos de IA e controles operacionais, compartimentos de risco que precisam ser blindados.
Ambientes que não adotam monitoramento constante, políticas de acesso estritas ou testes regulares de segurança são mais vulneráveis a violações de dados e ataques que exploram falhas em larga escala.
Governança de dados na nuvem pública
A gestão de ambientes cloud exige práticas robustas de governança. Entre os principais pilares estão:
• Monitoramento contínuo de configurações, permissões e exposições
• Automação para revisão e remoção de segredos durante deployment
• Revisões periódicas dos ambientes de trabalho
• Controle de privilégios por meio de regras de acesso preciso
A adoção desses procedimentos deve ser acompanhada de auditorias e relatórios que garantam o cumprimento de políticas internas e externas, como a LGPD e outros marcos regulatórios.
Recomendação para líderes de TI e segurança
O estudo da Tenable aponta que o tempo de resposta é crítico. Ao descobrir uma exposição, a organização deve investigar imediatamente, corrigir a vulnerabilidade, revogar chaves e tokens comprometidos e reavaliar as permissões envolvidas. Ferramentas que acompanham logs, escaneiam ativamente a presença de segredos no código e notificam alterações em configuração são indispensáveis.
Além disso, há necessidade de educação contínua dos times de desenvolvimento para evitar a prática de embutir segredos diretamente em recursos gerenciados ou via configuração manual. Estratégias de infraestrutura como código devem incluir varredura automatizada antes mesmo dos deployments.
O que o setor precisa aprender
Esse cenário é um chamado para que empresas em todo o mundo digitalizado façam uma reflexão. Nuvem não é apenas tecnologia, mas operação sensível. Dados expostos não se limitam a ameaças técnicas, mas a riscos estratégicos, financeiros e reputacionais. A crise pode acontecer em silêncio até que seja tarde demais.
A nuvem pública trouxe redução de custos, elasticidade e agilidade, mas também ampliou a superfície de ataque. Modelos de confiança zero, microsegmentação, autenticação multifator e visibilidade granular dos ganhos de trabalho precisam estar no centro das operações.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI, Telecom e Cibersegurança!
