O ataque com assinatura Magecart atingiu cerca de 17 mil domínios e, seguindo o objetivo habitual do grupo, teve como mote roubar informação relacionada com cartões de crédito. Alvos preferências: lojas de comércio eletrónico, que os atacantes procuraram identificar procurando páginas com formulários de pagamentos.

A campanha visou buckets do Amazon S3, repositórios cloud onde as empresas guardam dados dos sites que mantêm online. O grupo foi à procura de buckets com falhas de configuração que os tornem permeáveis a acessos externos, por qualquer utilizador com uma conta Amazon Web Services.

Os repositórios nestas condições permitiram não só ver todo o conteúdo lá guardado, mas também alterá-lo e criar novo, neste caso, inserir código que ajude a descobrir o tipo de informação que o grupo procura. O esquema foi descoberto pela RiskIQ, que estima que o ataque esteja em marcha desde abril.

A Amazon Web Services já reagiu a esta notícia e, numa declaração escrita, afirma que os clientes são donos e têm o controle completo dos seus dados. "Apesar da Amazon S3 ter segurança de base, oferece flexibilidade para mudar a configuração padrão para se adequar os muitos casos de utilização em que um acesso mais alargado é necessário, como construir um website ou alojar conteúdos que podem ser publicamente descarregados", explica a empresa. Nestes caso os clientes devem assegurar que as mudanças feitas garantem a proteção do acesso, refere ainda.

Recorde-se que o ataque feito pelo Magecart à British Airways deixou a empresa em maus lençóis e a braços com a maior multa já decretada pelo regulador britânico da privacidade, desde a entrada em vigor do novo Regulamento Geral da Proteção de Dados: 183 milhões de libras (quase 204 milhões de euros). Em causa está a exposição de dados de mais de meio milhão de utilizadores, na sequência do ataque.

Nota da redação: a informação foi atualizada com a reação da AWS.