Endpoint SQL aberto lança alerta vermelho sobre a governança de dados do Boston Consulting Group
Boston Consulting Group (BCG) – Um relatório divulgado em 31 de março de 2026 pela CodeWall aponta que o data warehouse da consultoria ficou acessível a qualquer pessoa graças a um endpoint de API no subdomínio x.bcg.com que aceitava comandos SQL sem exigir autenticação.
- Em resumo: Pentest automatizado encontrou API sem chave, token ou login, permitindo consultas diretas ao banco de dados.
IA autônoma descobre a porta de entrada
O agente de inteligência artificial da CodeWall vasculhava domínios corporativos quando identificou a interface exposta. De acordo com a The Hacker News, falhas semelhantes já foram responsáveis por vazamentos de bilhões de registros em 2024, reforçando a urgência de políticas de “least privilege” e monitoramento contínuo.
Um endpoint de API que aceitava consultas brutas de banco de dados via SQL e retornava os resultados – sem autenticação, sem chave de API, sem token de sessão.
Impacto para clientes e lições para o mercado
Com presença em mais de 50 países e receita anual próxima de US$ 12 bilhões, o BCG aconselha gigantes como Google, Microsoft e bancos globais. Uma exposição desse porte pode comprometer estratégias de M&A, dados de clientes e análises internas que valem milhões. Em ambientes de data warehouse, práticas recomendadas incluem segmentação de rede, rotação de credenciais e revisão de endpoints em ambientes híbridos, segundo o Google Cloud Blog.
O que você acha? Sua empresa revisa rotineiramente APIs internas? Para mais detalhes, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / CodeWall
