Wyciek 4 TB backupu EY. Czego uczy ten incydent

Około 4 TB kopii zapasowej baz danych EY było publicznie dostępnych w sieci. Na razie nie ma potwierdzenia, jakie dokładnie dane znalazły się w zbiorze, ale skala ujawnionego wolumenu wystarcza, aby w branży ruszyła kolejna fala dyskusji o tym, co zwykle jest zaniedbywane: bezpieczeństwo backupów.

Rynek cybersec od lat skupia się na atakach i infiltracjach systemów produkcyjnych. Tymczasem kopie zapasowe są często pełnymi, 1:1 odwzorowaniami działających instancji: nie tylko tabel, ale także kodu, tokenów dostępowych, kluczy API i konfiguracji. Przypadek EY pokazuje mechanikę wielu głośnych incydentów z ostatnich miesięcy — nie trzeba luk zero-day, nie trzeba zaawansowanych grup APT. Wystarczy źle ustawione uprawnienie w bucketcie czy snapshot z domyślnymi permisjami.

Raporty branżowe potwierdzają skalę problemu. Wiz Security wyliczała, że tylko w AWS w 2024 r. liczba błędnie skonfigurowanych zasobów S3 rosła w tempie dwucyfrowym kwartał do kwartału. Gartner przewiduje, że do 2027 roku aż 60 proc. incydentów cloudowych będzie wynikało z błędów konfiguracyjnych, a nie z łamania zabezpieczeń. Dla działów bezpieczeństwa korporacji to oznacza jedno: walka nie toczy się już o kolejne warstwy EDR, ale o kontrolę nad całą konfiguracją XaaS.

To nie jest newralgiczny temat tylko dla hyperscalerów. W polskich realiach nie brakuje organizacji, które utrzymują backupy w oparciu o hybrydę prostych storage’ów NAS, public cloud i repozytoriów odziedziczonych po poprzednich generacjach systemów. Każdy taki komponent to potencjalna tylna furtka, jeśli nie obowiązują go te same standardy co środowisko produkcyjne: szyfrowanie, dostęp zero trust, kontrola tożsamości, alerting w czasie zbliżonym do rzeczywistego.

Co ciekawe, nie chodzi już o samą kopię zapasową. Nowe narzędzia XDR i posture management zaczynają traktować backup jako normalny, aktywny element powierzchni ataku. Monitorują konfigurację usług Microsoft 365, analizują ekspozycję kluczy, skanują tokeny w snapshotach, szukają nadmiarowych uprawnień ról i kont, które mogłyby posłużyć jako pivot.

Największa lekcja z incydentu EY jest paradoksalnie minimalna: backup nie jest neutralnym bytem. To pełnoprawny asset, często ważniejszy niż produkcja, bo zawiera kompletność danych i kompletną historię procesów. Jedna pomyłka w ekspozycji backupu może zniweczyć lata inwestycji w bezpieczeństwo i ponownie ustawić akcenty w strategiach CISOs na całym rynku, także w Polsce. Proaktywne audyty konfiguracji i automatyzacja kontroli są dziś tak samo krytycznym elementem cyberhigieny jak same narzędzia obronne.

Aktualizacja:

W odpowiedzi na powyższą publikację otrzymaliśmy oficjalny komentarz EY, którego treść w niezmienionej formie publikujemy poniżej:
„Kilka miesięcy temu EY uzyskał wiedzę na temat możliwego narażenia danych i niezwłocznie wdrożył odpowiednie procedury. Żadne informacje związane z klientami, danymi osobowymi oraz poufnymi danymi firmy nie zostały naruszone. Sytuacja nie dotyczyła EY Polska. Związana była z podmiotem nabytym przez EY we Włoszech, który nie był podłączony do globalnej chmury ani systemów EY.”