Pesquisadores de cibersegurança revelaram que uma falha de configuração no AWS CodeBuild, serviço da Amazon Web Services usado para compilar e testar código automaticamente, permitiu a exposição pública de dados sensíveis, incluindo projetos privados, variáveis de ambiente, tokens de acesso e credenciais.
O incidente foi atribuído à configuração incorreta de ambientes de build por parte dos próprios usuários, que acabaram deixando artefatos acessíveis por meio de links não autenticados. A descoberta foi feita por analistas da Palo Alto Networks, que identificaram mais de 100.000 artefatos potencialmente acessíveis, muitos contendo informações confidenciais. Os artefatos de build, que deveriam estar restritos a ambientes controlados, foram expostos devido ao uso indevido de permissões públicas em buckets S3 e configurações de log no Amazon CloudWatch.
Entre os dados expostos estavam tokens de acesso ao GitHub, credenciais de APIs, chaves secretas, senhas codificadas em variáveis de ambiente e até informações sobre infraestrutura de nuvem. Em alguns casos, os builds expostos continham scripts com comandos sensíveis usados durante os processos automatizados de integração contínua (CI). O problema, embora causado por configurações aplicadas pelos próprios clientes, evidencia a complexidade e os riscos associados à automação na nuvem, especialmente quando práticas seguras não são seguidas.
A AWS confirmou que a plataforma em si não possui vulnerabilidades, mas reforçou a importância da configuração correta por parte dos usuários. Após o alerta, a Amazon atualizou sua documentação oficial, destacando boas práticas para o uso seguro do CodeBuild, incluindo a restrição de permissões públicas, uso de criptografia e a revisão periódica de artefatos e variáveis sensíveis. Os usuários afetados foram notificados e orientados a revogar imediatamente quaisquer tokens ou credenciais comprometidas.
