Hack Alerta

Apps de treinamento vulneráveis seguem expondo clouds de grandes empresas

Por Redação Hack Alerta Publicado em 21/01/2026 12:02 Cloud Tempo de leitura: 3 min

Instâncias públicas de aplicações de treinamento (DVWA, Juice Shop, Hackazon, bWAPP) foram exploradas por atores maliciosos para acessar clouds de grandes empresas e fornecedores. O problema decorre de má configuração e falta de isolamento entre ambientes de teste e produção.

Resumo

Pesquisadores e reportagens mostram que aplicações usadas internamente para treinamento — como DVWA, OWASP Juice Shop, Hackazon e bWAPP — estão mal configuradas em ambientes de empresas e fornecedores, permitindo que atacantes obtenham acesso a clouds de grandes organizações e até a ambientes de empresas de segurança.

Achados principais

Reportagens recentes apontam que instâncias de aplicações deliberadamente vulneráveis, normalmente usadas para simular ataques e treinar equipes, foram expostas sem controles adequados. Atacantes exploraram essas aplicações sobre‑provisionadas ou mal isoladas para pivotar e acessar serviços na nuvem pertencentes a empresas de grande porte e a fornecedores de segurança.

Vetor e impacto

Os vetores observados incluem instâncias públicas de apps de treinamento com permissões excessivas, credenciais ou roles mal configuradas, e falta de segmentação entre ambientes de teste e produção. Em vários casos a exploração resultou em acesso a recursos cloud e, segundo os relatos, permitiu que atores maliciosos alcançassem sistemas internos de fornecedores e corporações listadas na Fortune 500.

Evidências e exemplos

Relatos públicos descrevem que atacantes aproveitaram a presença dessas aplicações para obter credenciais ou tokens, encaminhando‑se para consoles cloud e buckets/serviços com dados sensíveis. A investigação destaca que programas de segurança e vendors também foram impactados quando não mantiveram separação rígida entre testes e infraestrutura de produção.

Por que isso continua acontecendo

O problema reaparece por duas razões principais: erros de configuração (permissões excessivas e exposição pública desnecessária) e práticas fracas de segregação de ambientes. Ferramentas de treinamento são projetadas para ser vulneráveis, e quando não isoladas adequadamente tornam‑se vetor direto para comprometimento.

Mitigações práticas

  • Isolar ambientes de treinamento: redes, contas e roles separados da infraestrutura de produção.
  • Revisar permissões e rotinas de provisão: aplicar princípio do menor privilégio a instâncias de teste.
  • Reforçar controles de identidade e monitoramento de anomalias: detecção de uso indevido de tokens/credentials.
  • Inventariar e remover aplicações desnecessárias e expostas publicamente.

Observações finais

Os incidentes mostram que a utilização de aplicações intencionalmente vulneráveis exige processos operacionais tão rígidos quanto os aplicados a produção. Sem isso, a própria ferramenta de treinamento vira porta de entrada para invasores.

Fonte: reportagens e análises publicadas no BleepingComputer.

Baseado em publicação original de BleepingComputer
Tags: #cloud #treinamento #dvwa #juice-shop #bwapp #exposicao #configuracao #fornecedores #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar