Configurazioni errate dell'archiviazione nel cloud hanno portato all'esposizione di 2,8 miliardi di record solo nel primo trimestre del 2026. Le violazioni del bucket S3 sono aumentate 400% anno su anno poiché gli scanner automatizzati sfruttano sistematicamente i controlli di accesso pubblico. Le organizzazioni regolamentate da NIS2 ora devono far fronte alle notifiche obbligatorie di violazione entro 24 ore, rendendo la corretta igiene della sicurezza nel cloud più critica che mai.
I ricercatori di sicurezza segnalano che bucket di archiviazione cloud configurati in modo errato, principalmente AWS S3, Azure Blob Storage e Google Cloud Storage, hanno esposto 2,8 miliardi di record contenente dati sensibili dei clienti, informazioni sui dipendenti, cartelle cliniche e documenti finanziari solo nel primo trimestre del 2026.
L’esplosione delle violazioni dei dati nel cloud è guidata da tre fattori convergenti:
Ciò che è particolarmente preoccupante è che 73% dei secchi esposti appartenevano a organizzazioni che disponevano di team di sicurezza dedicati e programmi di conformità. Questo non è solo un problema delle piccole imprese: le imprese subiscono violazioni a ritmi allarmanti.
La metodologia di attacco è semplice ma devastantemente efficace:
Gli aggressori implementano strumenti di scansione che testano modelli di denominazione dei bucket prevedibili:
company-prod-backupscompanyname-user-uploadsapp-logs-2026customerdata-analyticsQuesti scanner testano milioni di permutazioni al giorno, controllando le autorizzazioni del bucket e i controlli di accesso. Una volta trovato un bucket configurato in modo errato, l'intero contenuto può essere scaricato in pochi minuti.
Gli aggressori recuperano i log di trasparenza dei certificati, i record DNS e i repository GitHub per scoprire gli URL dei bucket S3 a cui si fa riferimento in:
I moderni strumenti di scansione ora utilizzano l'apprendimento automatico per prevedere le convenzioni di denominazione dei bucket in base al dominio, ai nomi dei prodotti e allo stack tecnologico di un'azienda. Ciò rende la “sicurezza attraverso l’oscurità” del tutto inefficace.
| Configurazione errata | Livello di rischio | Impatto |
|---|---|---|
| Accesso pubblico in lettura sull'intero bucket | Critico | Tutti i dati sono scaricabili da chiunque |
| Accesso pubblico in scrittura | Critico | Iniezione di malware, ransomware, distruzione di dati |
| Politiche IAM eccessivamente permissive | Alto | La compromissione delle credenziali consente l'accesso completo |
| Crittografia mancante a riposo | Alto | Dati leggibili se l'archiviazione è compromessa |
| Nessuna registrazione degli accessi abilitata | Medio | Impossibile rilevare l'accesso non autorizzato |
Un importante fornitore di servizi sanitari europei ha lasciato un secchio S3 contenente 14 milioni di cartelle cliniche accessibile al pubblico per 18 mesi. Il secchio includeva:
Secondo i regolamenti NIS2, l'organizzazione rischia sanzioni fino a €10 million or 2% of global annual revenue per non aver implementato adeguate misure di sicurezza.
Una società fintech in rapida crescita ha archiviato i token di autenticazione dei clienti e le credenziali dell'API bancaria in un contenitore di archiviazione BLOB di Azure non crittografato e accessibile pubblicamente. La violazione ha interessato 2.3 million customers in 17 paesi.
Entro 48 ore dalla scoperta, i criminali informatici avevano già utilizzato le credenziali esposte per avviare $47 million in fraudulent transactions.
Un fornitore automobilistico tedesco ha inavvertitamente esposto progetti CAD proprietari, contratti con i fornitori e informazioni riservate sui prezzi in un bucket Google Cloud Storage configurato in modo errato. Competitors accessed the data for sei mesi prima che la violazione venisse scoperta attraverso un controllo di sicurezza di routine.
La Direttiva NIS2 dell'UE richiede esplicitamente alle organizzazioni di implementare misure per impedire l'accesso non autorizzato ai dati. Le configurazioni errate dell'archiviazione nel cloud violano direttamente questi requisiti:
Gli enti essenziali e importanti devono implementare:
Le organizzazioni che subiscono esposizione dei dati a causa di configurazioni errate del cloud devono segnalare l'incidente alle autorità entro 24 ore and provide a detailed assessment within 72 ore.
Failure to comply can result in:
Non utilizzare mai autorizzazioni generali di accesso pubblico. Ogni secchio dovrebbe:
Tutti gli accessi allo spazio di archiviazione nel cloud devono essere registrati e monitorati:
Configura avvisi per modelli sospetti come download di massa, accesso da posizioni geografiche insolite o tentativi di escalation dei privilegi.
Implementare la crittografia a riposo e in transito:
Distribuisci strumenti automatizzati che scansionano continuamente configurazioni errate:
Previeni configurazioni errate prima della distribuzione eseguendo la scansione dei modelli IaC:
La piattaforma di sicurezza automatizzata di KENSAI monitora continuamente gli ambienti cloud per individuare errori di configurazione che potrebbero portare all'esposizione dei dati:
Scopri i bucket S3 esposti, le policy IAM eccessivamente permissive e le configurazioni errate del cloud prima che lo facciano gli aggressori.
Avvia la scansione di sicurezza cloud gratuitaLe configurazioni errate del cloud storage non sono più un caso limite: sono principale causa di violazione dei dati nel 2026. La combinazione di strumenti di scansione automatizzati, tecniche di rilevamento basate sull’intelligenza artificiale e l’enorme volume di dati ospitati sul cloud ha creato una tempesta perfetta.
Le organizzazioni non possono più fare affidamento su revisioni manuali della sicurezza o audit periodici. Monitoraggio automatizzato continuo è l'unico modo per rilevare e correggere le configurazioni errate prima che portino a violazioni catastrofiche.
Con NIS2 la posta in gioco non è mai stata così alta. Un singolo bucket configurato in modo errato può comportare multe milionarie, interruzioni operative e danni irreparabili alla reputazione.
Il momento di agire è adesso.
— Gruppo di ricerca sulla sicurezza KENSAI
5 marzo 2026