Post cover image

June 6, 2026

A maioria dos ataques que eu vi não tinha nada de sofisticado…

Como hackers exploram más configurações simples em infraestrutura

Matheus Ramos | Cybersecurity

4 min read

Tem um conhecido meu, bom programador, que perdeu uns dias de sono por causa de um banco de dados. Era um projeto pequeno, ia ficar no ar por uma semana só, e ele subiu rápido usando uma imagem pronta. Só que essa imagem vinha sem senha por padrão e ele não reparou. Umas três semanas depois alguém mandou pra ele o print de um site que lista bancos de dados abertos espalhados pela internet, e o dele estava lá, com número e tudo, encontrado por algum programa que fica varrendo a rede atrás desse tipo de coisa.

Não teve invasão no sentido que a gente costuma imaginar. Estava aberto e alguém entrou.

Conto isso porque, depois de uns anos olhando esse tipo de problema de perto, eu fui ficando convencido de uma coisa meio chata de admitir: a maior parte do que a gente chama de ataque não é nada elaborado. É configuração ruim, senha que ninguém trocou, alguém que esqueceu de fechar o que devia.

A gente tem uma ideia errada do que é hackear

Acho que parte disso vem da imagem que a gente carrega de filme e série, aquela coisa de tela cheia de código e o cara digitando rápido. Aí você começa a trabalhar de verdade e percebe que o que mais dá retorno pra quem ataca é, na real, um trabalho bem entediante.

É varredura automática, no fundo. A pessoa deixa um programa rodando que testa um monte de endereço atrás de coisa óbvia: uma porta de administração aberta, um painel que não pede login, um arquivo de configuração acessível sem querer. Na maioria das vezes ela nem te escolheu. Você caiu na lista porque deixou algo exposto e o programa passou por ali.

Isso mudou o jeito que eu penso em defesa, e demorou pra cair a ficha. Eu gastava energia demais com o ataque difícil, a falha rara, e de menos com o erro simples. E o erro simples é onde quase tudo acontece.

Os mesmos vacilos, sempre…

Tem um punhado de erros que se repetem tanto que já parecem rotina.

O espaço de armazenamento na nuvem que alguém deixa público "só pra testar uma coisa" e nunca volta pra fechar. A credencial escrita direto no código que acaba num repositório aberto, e que só aparece quando começam a chegar cobranças altas de um serviço que ninguém estava usando. A senha padrão de administrador que ninguém troca porque é ambiente interno, só que o tal ambiente interno tinha uma porta pra fora que ninguém mapeou.

Quando esses casos grandes são investigados, a causa costuma ser bem mais simples do que parecia de início. Não foi um ataque coordenado de país nenhum. Foi um servidor exposto, uma permissão larga demais que ninguém revisou, alguma coisa que se resolveria mudando uma configuração. Não digo isso pra diminuir quem passou por isso, porque eu sei como é fácil escorregar. Digo porque a gente perde tempo procurando o vilão complicado quando o problema quase sempre está logo na entrada.

Por que isso continua acontecendo?

Pra mim configuração ruim não é exatamente um problema técnico. É mais um problema de como as pessoas trabalham.

Repara que quase sempre o erro nasce de uma pressa que faz sentido. A pessoa está entregando, o prazo apertou, ela sobe a infraestrutura correndo e promete que volta depois pra arrumar com calma. Esse depois raramente chega, porque o que chega é o próximo prazo. Não é preguiça.

Tem também as ferramentas que já vêm abertas por padrão, e isso me incomoda. Muita coisa é configurada do jeito mais permissivo possível porque assim conecta de primeira e o usuário não reclama. Eu acho que devia ser o contrário, vir tudo fechado e a gente abrir só o que precisa. Mas o caminho mais fácil pra quem fabrica acabou sendo o mais arriscado pra quem usa.

E tem uma questão de hábito. Quando você olha a mesma infraestrutura todo dia, você para de enxergar. Aquele servidor exposto vira parte do cenário e você nem repara mais nele. Por isso eu confio mais num par de olhos de fora, ou numa ferramenta automática, do que na minha própria revisão depois de meses no mesmo projeto.

O que eu passei a fazer diferente

Eu não virei paranoico, e acho até que paranoia atrapalha. Mas alguns hábitos eu fui pegando com o tempo.

O principal é tratar configuração como código. Quando a forma como a infraestrutura está montada vive num arquivo com histórico, e não na cabeça de uma pessoa ou clicado na pressa em algum painel, fica mais difícil um erro passar batido. Outra pessoa consegue olhar e perguntar por que tal coisa está aberta.

O outro é assumir que tudo vai ser encontrado. Em vez de apostar que ninguém vai achar, eu parto do princípio de que algum programa vai achar sim, e talvez logo. Aí a pergunta deixa de ser se vão encontrar e passa a ser, se encontrarem, qual o tamanho do problema. Às vezes a resposta é nenhum, e tudo bem. Mas fazer essa pergunta antes muda bastante o que você decide deixar exposto.

Não é sobre saber mais

Tem uma vaidade nessa área que demora pra largar. A gente quer entender de ataque avançado, de técnica difícil, porque é mais interessante de estudar e rende uma conversa melhor. Eu já fui bem assim.

Só que a defesa que protege mais gente é a mais sem graça que existe. É fechar o que está aberto, trocar a senha que veio de fábrica, revisar de tempos em tempos quem tem acesso a quê. Não é um trabalho que impressione ninguém.

Mês passado eu mesmo achei uma permissão larga demais que tinha sobrado de um teste antigo. Senti aquele incômodo de sempre, mas dessa vez fui eu que encontrei, porque tinha um processo simples de revisão olhando aquilo. Não acho que isso me faça melhor que ninguém. A diferença, na prática, costuma ser só o costume meio chato de conferir as coisas antes de fechar o dia.

Acesse também minha Substack: https://substack.com/@mrsecbr