Mais de 21 mil bancos de dados estão expostos publicamente na internet brasileira, colocando em risco informações pessoais, financeiras e corporativas de milhares de organizações. É o que revela um boletim da ISH Tecnologia, principal empresa nacional de cibersegurança – globalmente, o número ultrapassa 1 milhão de bancos vulneráveis.
Os bancos de dados em questão pertencem ao PostgreSQL, um dos sistemas mais utilizados em empresas de tecnologia, plataformas de e-commerce, instituições educacionais e órgãos públicos. Quando configurado de forma inadequada e exposto diretamente à internet, torna-se alvo fácil para ataques automatizados. Os riscos vão desde o roubo e venda de dados em fóruns clandestinos até a extorsão com ameaças de vazamento público, passando pela interrupção de serviços críticos e pela implantação de mensagens de resgate dentro das tabelas do banco.
O material da ISH revela que empresas de tecnologia, startups, plataformas SaaS (Software as a Service), instituições educacionais e órgãos públicos estão entre os segmentos mais afetados. Em muitos casos, os bancos expostos contêm credenciais, registros financeiros das empresas, dados pessoais de colaboradores e tokens de API – que são chaves digitais usadas para permitir que sistemas diferentes “conversem” entre si de forma segura. Quando comprometidos, esses tokens podem dar aos criminosos acesso indevido a serviços e aplicações conectadas, ampliando o alcance do ataque.
Além de informações vazadas, as consequências da exposição desses bancos incluem multas regulatórias previstas pela LGPD, danos reputacionais, perda de propriedade intelectual e comprometimento da cadeia de suprimentos digital, o que afeta por consequência clientes e parceiros. A ISH destaca ainda que os dados roubados podem ser reutilizados em ataques futuros, como campanhas de fraude e phishing.
Para reduzir riscos, a empresa afirma que a maior recomendação é nunca expor bancos de dados diretamente à internet, restringindo o acesso por meio de VPNs e firewalls, além de adotar senhas fortes e autenticação multifator, mitigando a possibilidade de invasões. Também é essencial monitorar logs de acesso, implementar criptografia em trânsito e em repouso e segmentar ambientes de desenvolvimento, homologação e produção para evitar exposição indevida.
Segundo a ISH, medidas simples de configuração já são de grande ajuda para evitar que bancos de dados se tornem alvos fáceis de campanhas criminosas em larga escala.
