# Comissão Europeia Atingida por Violação na Nuvem AWS A **Comissão Europeia** sofreu uma grande violação de dados em 19 de março, com a intrusão atribuída ao grupo de hackers **TeamPCP** pelo **CERT-EU**. A violação explorou uma conta comprometida da **Amazon Web Services (AWS)**, resultando no roubo de aproximadamente 92 gigabytes de dados compactados. ## Detalhes da Violação Os atacantes obtiveram acesso através do uso indevido de uma chave secreta da API da Amazon, visando a plataforma Europa.eu da Comissão hospedada na infraestrutura de nuvem da **AWS**. Esta plataforma é utilizada pelos estados da UE para hospedar websites de várias entidades do bloco. De acordo com o relatório do **CERT-EU**, dados pertencentes a 42 clientes internos e pelo menos 29 entidades da UE podem ter sido comprometidos. O conjunto de dados roubado continha quase 52.000 arquivos, totalizando 2,2 gigabytes, relacionados principalmente a comunicações de e-mail de saída. Embora o **CERT-EU** acredite que a maioria dessas mensagens eram automatizadas com conteúdo mínimo, algumas notificações de rejeição podem apresentar risco de exposição de dados pessoais. ## Cronologia e Descoberta Os oficiais de cibersegurança da Comissão detectaram a violação em 24 de março, acionados por notificações indicando possível uso indevido de APIs da Amazon, possível comprometimento de conta e um aumento incomum no tráfego de rede. ## Causa Raiz: Comprometimento da Cadeia de Suprimentos do Trivy O **CERT-EU** avalia com alta confiança que o acesso inicial foi obtido através do comprometimento da cadeia de suprimentos do **Trivy**. A Comissão utilizou inadvertidamente uma versão comprometida do **Trivy** obtida através de canais regulares de atualização de software. ## Risco de Movimentação Lateral Os atores da ameaça adquiriram "direitos de gerenciamento" para a chave da API **AWS** comprometida, permitindo potencialmente que se movessem lateralmente para outras contas **AWS** dentro da **Comissão Europeia**. No entanto, atualmente não há evidências de tal movimentação lateral. ## Vazamento de Dados na Dark Web Em 28 de março, os dados roubados surgiram no site da dark web **ShinyHunters**. **ShinyHunters** alegou ter roubado "dumps de dados de servidores de e-mail, bancos de dados [sic], documentos confidenciais, contratos e muito mais material sensível". ## Modus Operandi do TeamPCP O **TeamPCP** também é suspeito de estar por trás do recente ataque cibernético LiteLLM, que afetou a **Mercor** e inúmeras outras organizações. O grupo de hackers tem sido associado a ransomware impulsionado por worms, exfiltração de dados e campanhas de mineração de criptomoedas.