Ernando Myrtaj
Ernando Myrtaj
firec0de
Ernando Myrtaj
Ernando Myrtaj
firec0de
Download Resume
Blog Post

Nëse një firmë si EY mund të bëjë një gabim të tillë, askush nuk është i paprekshëm. Çfarë ka ndodhur?

3 November 2025 Blog by firec0de

Një gabim i zakonshëm në konfigurimin e “cloud”-it i ka kushtuar shtrenjtë një prej firmave më të mëdha të shërbimeve profesionale në botë, Ernst & Young (EY). Sipas studiuesve të sigurisë kibernetike, një rezervë (backup) SQL Server me madhësi 4 terabajt ishte lënë publikisht e qasshme në internet përmes Microsoft Azure Storage, pa pasur nevojë për ndonjë sulm të jashtëm.

Si u zbulua ekspozimi

Zbulimi u bë nga kompania holandeze Neo Security, e cila gjatë skanimeve rutinë të aseteve cloud, vuri re një skedar .BAK me madhësi 4TB, tipike për kopje rezervë të bazave të të dhënave.
Me një kërkesë të thjeshtë HTTP, studiuesit kuptuan se bëhej fjalë për një backup të paenkriptuar të një serveri SQL. Analiza e metadatave dhe kërkimet pasuese e lidhën skedarin me EY, përmes domain-it ey.com.

Çfarë përmbante

Një bazë e tillë mund të përfshijë struktura të plotë të të dhënave, llogari përdoruesish, kredenciale, çelësa API dhe informacione autentikimi – në thelb, gjithçka që një organizatë mban në sistemet e saj. Edhe pse EY deklaroi se nuk kishte të dhëna klientësh apo informacione personale të prekur, ekspozimi i një file të tillë për një periudhë të panjohur mbetet rrezik serioz.

Pse ndodhin këto gabime

Burime të pavarura sugjerojnë se incidenti lidhej me një proces migrimi ose backup nga infrastruktura lokale drejt “cloud”-it. Në këto raste, një klikim i gabuar ose një politikë e lejeve (ACL) e vendosur gabimisht mund të kthejë një ruajtje private në publike.
Në botën e cloud-it modern, thjeshtësia e platformave si Azure apo AWS e bën shumë të lehtë krijimin e këtyre situatave.

Reagimi i EY

Neo Security tentoi disa herë të kontaktonte EY, përfshirë përmes LinkedIn, derisa arriti tek ekipi i reagimit ndaj incidenteve. EY konfirmoi se problemi ishte lokal për një degë të EY në Itali dhe se ishte zgjidhur menjëherë pasi u raportua.

Çfarë mësojmë nga kjo

Ky incident tregon se as firmat më të mëdha nuk janë të paprekshme nga gabime bazike të konfigurimit në cloud. Më shumë se një dështim teknik, ai nënvizon boshllëqet e kontrollit dhe mbikëqyrjes në mjedise gjithnjë e më të ndërlikuara.

  • Organizatat duhet të:
  • Ruajnë inventar të vazhdueshëm të aseteve cloud dhe ruajtjeve (buckets, blobs, snapshots)
  • Përdorin mjete automatike që zbulojnë ekspozime publike
  • Vendosin akses të kufizuar si parazgjedhje
  • Enkriptojnë rezervat dhe përdorin log-e të pandryshueshme për auditim
  • Simulojnë incidente të këtij lloji për të testuar reagimin e brendshëm

Mësimi kryesor

Një skedar backup i harruar mund të jetë po aq i rrezikshëm sa një sulm i sofistikuar. Siç thekson Neo Security, “në epokën e automatizimit, rreziku nuk është nëse dikush e gjen, por sa vetë e gjejnë.”

Në fund të fundit, nuk mjafton të mbrosh rrjetin nga sulmet, duhet të dish çfarë ke ekspozuar tashmë.
Nëse një firmë si EY mund të bëjë një gabim të tillë, askush nuk është i paprekshëm.

Related Posts
Write a comment