← Voltar ao Blog
Cloud Security 2026-04-07

Buckets S3 Expostos: O Erro de Configuracao que Custa Milhoes

Como buckets S3 mal configurados causam vazamentos massivos de dados e o que fazer para evitar esse erro na sua organizacao.

C
Cybersec Academy
4 min

De todos os erros de configuracao em ambientes cloud, buckets S3 publicos sao provavelmente o mais recorrente e o mais evitavel. Mesmo assim, novos casos surgem todo trimestre. Vamos entender por que isso acontece e como garantir que nao aconteca no seu ambiente.

O Tamanho do Problema

Nos ultimos anos, buckets S3 expostos publicamente ja vazaram dados de hospitais, bancos, orgaos governamentais e empresas da Fortune 500. Em muitos casos, os dados ficaram acessiveis por meses antes de serem descobertos. Registros medicos, documentos de identidade, backups de banco de dados, credenciais em texto plano -- tudo acessivel para qualquer pessoa com a URL correta.

O custo nao e apenas financeiro. Multas da LGPD, danos reputacionais e perda de confianca de clientes podem ser irreversiveis.

Como Isso Acontece

A raiz do problema geralmente e uma combinacao de fatores:

  • Configuracao manual sem revisao. Um desenvolvedor cria um bucket para testes, marca como publico "so para testar" e nunca reverte.
  • Politicas de bucket permissivas. ACLs com public-read ou policies com "Principal": "*" concedem acesso a qualquer pessoa na internet.
  • Falta de automacao. Sem Infrastructure as Code (IaC), cada bucket e configurado de forma ad-hoc, sem padrao e sem auditoria.
  • Ausencia de monitoramento. Ninguem verifica se existem buckets publicos no ambiente. O problema so aparece quando um pesquisador ou atacante descobre.

Como Prevenir

Bloqueie acesso publico na conta inteira. A AWS oferece o S3 Block Public Access a nivel de conta. Ative-o:

aws s3control put-public-access-block \
  --account-id 123456789012 \
  --public-access-block-configuration \
  BlockPublicAcls=true,IgnorePublicAcls=true,BlockPublicPolicy=true,RestrictPublicBuckets=true

Use SCPs para impedir que alguem reverta. Service Control Policies no AWS Organizations podem impedir que qualquer usuario desabilite o bloqueio de acesso publico, mesmo administradores.

Implemente IaC com validacao. Terraform, CloudFormation ou Pulumi com politicas de validacao (como OPA ou Checkov) impedem que recursos inseguros sejam provisionados.

Monitore continuamente. Configure o AWS Config com a regra s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibited. Crie alertas no CloudWatch ou integre com o seu SIEM.

Classifique os dados. Nem todo bucket tem o mesmo nivel de sensibilidade. Aplique tags de classificacao e politicas de acesso proporcionais.

Auditoria Rapida

Quer verificar agora se tem buckets publicos no seu ambiente? Execute:

aws s3api list-buckets --query 'Buckets[].Name' --output text | \
  xargs -I {} aws s3api get-public-access-block --bucket {} 2>/dev/null || \
  echo "ALERTA: bucket {} sem bloqueio de acesso publico"

Isso nao substitui uma auditoria completa, mas ja mostra onde estao os pontos mais criticos.

Conclusao

Buckets S3 expostos nao sao um problema de tecnologia. Sao um problema de processo. As ferramentas para prevenir existem e sao gratuitas. O que falta, na maioria dos casos, e a disciplina de aplica-las desde o primeiro dia.