A Amazon Web Services (AWS) implementou uma nova funcionalidade de segurança que visa mitigar um vetor de ataque conhecido como S3 Bucket Namesquatting, ou “Bucketsquatting”. A vulnerabilidade, descrita inicialmente em 2019 pelo engenheiro de cloud Ian Mckay, explora convenções previsíveis de nomenclatura de buckets S3. Ataques ocorrem quando um adversário registra um bucket cujo nome pertencia anteriormente a outro proprietário, mas que foi excluído ou expirou. Se aplicações ou redes internas ainda tentarem acessar o endpoint antigo, o tráfego e os dados podem ser interceptados pelo atacante, potencialmente levando a incidentes graves como coleta de dados sensíveis ou até mesmo entrega de atualizações maliciosas.
A Nova Defesa: Namespaces Regionais Vinculados à Conta
A contramedida introduzida pela AWS permite que administradores vinculem nomes de buckets a IDs de conta AWS e a um namespace regional específico. O padrão de nomenclatura resultante segue a estrutura: [nome_do_bucket]-[ID_da_conta]-[região_AWS]-[namespace]. Esta abordagem cria um identificador globalmente único para o bucket, impedindo que terceiros registrem um bucket idêntico em outra conta, mesmo após a desalocação do original. É importante notar que a proteção não é retroativa; buckets existentes ou templates publicados que não utilizam o novo padrão permanecem vulneráveis. A migração de dados para novos buckets criados com o namespace é necessária para garantir a proteção completa.
Contexto e Gravidade do Ataque
A relevância prática do bucketsquatting foi demonstrada de forma contundente em fevereiro de 2026, quando pesquisadores da WatchTowr Labs registraram aproximadamente 150 buckets S3 previamente pertencentes a projetos comerciais e de código aberto abandonados. Esses buckets continuavam a receber tráfego ativo, incluindo de domínios governamentais, militares e empresas da Fortune 500. A natureza do tráfego sugeria que alguns buckets eram usados para distribuir configurações de servidor ou atualizações de software, colocando os pesquisadores em posição de potencialmente comprometer redes remotas. Este caso evidenciou o risco operacional tangível e a necessidade de mitigações estruturais.
Landscape Comparativo: AWS, Azure e Google Cloud
A AWS não é a primeira a abordar o problema. Tanto a Microsoft Azure quanto o Google Cloud Platform já possuem proteções contra bucketsquatting, embora empreguem metodologias diferentes. O movimento da AWS para implementar namespaces regionais fortalece o ecossistema de segurança na nuvem, oferecendo aos clientes uma defesa proativa contra este vetor de ataque persistente. A adoção deste novo padrão é um passo crítico para arquiteturas novas, enquanto a revisão e migração de buckets legados se tornam atividades de hardening prioritárias para equipes de segurança e engenharia de cloud.
“This doesn’t retroactively protect any existing buckets… but it does provide a strong protection for new buckets going forward. If you wish to protect your existing buckets, you’ll need to create new buckets with the namespace pattern and migrate your data.” – Ian Mckay
Análise baseada no Risky Bulletin (20/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário