### Detalhes do Vazamento A Comissão Europeia reconheceu publicamente o vazamento de dados em 27 de março, após questionamentos do BleepingComputer. O incidente originou-se de um comprometimento do ambiente de nuvem Amazon Web Services (AWS) da Comissão. O CERT-EU foi notificado da intrusão em 24 de março, cinco dias após o vazamento inicial, destacando um atraso na detecção da atividade maliciosa. ### Vetor de Ataque: Credenciais AWS Roubadas Em 19 de março, o TeamPCP explorou uma chave de API AWS comprometida, concedendo-lhes direitos de gerenciamento sobre outras contas AWS da Comissão Europeia. A chave de API foi roubada durante o ataque à cadeia de suprimentos do Trivy. Os atacantes então usaram o TruffleHog, uma ferramenta projetada para escanear e validar credenciais de nuvem, para descobrir segredos adicionais. Para evadir a detecção, eles anexaram uma chave de acesso recém-criada a uma conta de usuário existente antes de prosseguir com a reconhecimento e roubo de dados. ### Modus Operandi do TeamPCP O TeamPCP tem um histórico de orquestrar ataques à cadeia de suprimentos visando plataformas de código para desenvolvedores, como GitHub, PyPi, NPM e Docker. O grupo também esteve por trás do comprometimento do pacote LiteLLM PyPI, implantando o malware roubador de informações "TeamPCP Cloud Stealer" que impactou dezenas de milhares de dispositivos. ### Vazamento de Dados e Impacto Em 28 de março, o grupo de extorsão de dados ShinyHunters publicou os dados roubados em seu site de vazamento na dark web. O arquivo, totalizando 90 GB (340 GB descompactado), continha nomes, endereços de e-mail e conteúdo de e-mail. A análise do CERT-EU confirmou o roubo de dezenas de milhares de arquivos contendo informações pessoais, nomes de usuário e conteúdo de e-mail. O vazamento afeta potencialmente 42 clientes internos da Comissão Europeia e pelo menos outras 29 entidades da União que utilizam o serviço de hospedagem web europa.eu.  "O ator de ameaça usou o segredo AWS comprometido para exfiltrar dados do ambiente de nuvem afetado. Os dados exfiltrados estão relacionados a sites hospedados para até 71 clientes do serviço de hospedagem web Europa: 42 clientes internos da Comissão Europeia e pelo menos outras 29 entidades da União", declarou o CERT-EU. O conjunto de dados vazado inclui dados pessoais como nomes, nomes de usuário e endereços de e-mail, predominantemente de sites da Comissão Europeia, mas potencialmente pertencentes a usuários de várias entidades da União. Ele também contém pelo menos 51.992 arquivos relacionados a comunicações de e-mail de saída, totalizando 2,22 GB. Embora a maioria dessas sejam notificações automatizadas, notificações de "bounce-back" podem conter conteúdo enviado pelo usuário, apresentando risco de exposição de dados pessoais. O CERT-EU confirmou que nenhum site foi desativado ou adulterado, e nenhum movimento lateral para outras contas AWS da Comissão foi detectado. A Comissão Europeia notificou as autoridades de proteção de dados relevantes e está em comunicação direta com as entidades afetadas. A análise dos dados exfiltrados está em andamento e espera-se que leve um tempo considerável. Este incidente segue um vazamento de dados anterior divulgado pela Comissão Europeia em fevereiro, que envolveu uma plataforma de gerenciamento de dispositivos móveis comprometida usada para gerenciar dispositivos de funcionários.