O que é uma identidade não humana?

Identidades de máquina ou programáticas, como serviços, apps, scripts, bots e outros agentes automatizados, estão a trabalhar nos bastidores para automatizar fluxos de trabalho. Por outras palavras, máquinas e sistemas estão a comunicar com outras máquinas sem intervenção humana.

Essas identidades não-humanas (NHIs) autenticam-se automaticamente usando chaves API, tokens ou certificados. Elas são projetadas para automatizar e agilizar fluxos de trabalho, mas abrem a porta para riscos potenciais. Se um desses sistemas ou máquinas for comprometido, pode ter um efeito dominó em outros sistemas.

Identidades comuns não-humanas

Embora a lista seja longa, os tipos mais comuns de NHIs incluem:

• Contas de serviço: Contas de propósito especial usadas por aplicações ou scripts para aceder a sistemas ou recursos sem intervenção humana
• Chaves de API: Tokens usados para autenticar aplicações ou serviços ao chamar APIs, muitas vezes embutidos no código ou mal geridos
• Clientes OAuth/tokens de portador: Credenciais usadas por aplicações para obter tokens de acesso e interagir com outros sistemas sob autoridade delegada
• Certificados e chaves privadas: Credenciais criptográficas usadas para verificar e proteger a comunicação entre máquinas ou serviços
• Identidades de dispositivos IoT: Credenciais únicas atribuídas a dispositivos conectados para autenticar e interagir com serviços em nuvem ou redes
• Bots de automação de processos robóticos (RPA): Bots de software que executam tarefas repetitivas e necessitam de acesso a aplicações ou dados usando credenciais armazenadas
• Identidades de contentores ou pods: Identidades de máquina atribuídas a contentores ou pods (por exemplo, no Kubernetes) para aceder de forma segura a outros recursos nativos da nuvem

A explosão de NHIs nos últimos anos é significativa. Na maioria dos sistemas, o número de identidades não-humanas supera o de utilizadores humanos. Por exemplo, segredos de NHI, como contas de serviço no Kubernetes, superam as identidades humanas por um fator de 45:1 em ambientes DevOps. Muitos destes segredos estão expostos e permanecem assim. Um estudo da GitGuardian mostrou que 70% dos segredos detetados em repositórios públicos em 2022 estão ainda ativos hoje.

Os potenciais problemas parecem ser ainda mais graves com a adoção de IA para o desenvolvimento de código. Embora isso possa melhorar a produção de código, as credenciais são frequentemente expostas de maneiras que não ocorrem tipicamente com práticas de desenvolvimento tradicionais.

Os 10 Principais Riscos OWASP NHI

Devido à prevalência de identidades não-humanas, o Open Web Application Security Project (OWASP) lançou uma lista abrangente dos riscos e vulnerabilidades de segurança mais urgentes decorrentes do uso de identidades não-humanas. O OWASP Top 10 Non-Human Identities Risks – 2025 inclui potenciais explorações para ajudar os programadores a gerir e proteger melhor os recursos.

1. Desvinculação inadequada

Não desativar ou remover identidades não-humanas — como contas de serviço ou chaves de acesso — quando já não são necessárias pode deixar os sistemas expostos. Estas credenciais inativas podem ser sequestradas por atacantes para obter acesso não autorizado a ambientes sensíveis.

2. Vazamento de segredos

Credenciais sensíveis, como chaves de API, tokens ou certificados, podem ser armazenadas acidentalmente em locais desprotegidos, como código, ficheiros de configuração ou ferramentas de chat. Se estes segredos forem expostos, os atacantes podem usá-los para se fazerem passar por serviços ou aceder a sistemas restritos.

3. NHIs de terceiros vulneráveis

Muitas ferramentas de desenvolvimento e serviços na nuvem dependem de componentes de terceiros que introduzem identidades não humanas no seu ecossistema. Se um serviço ou plugin de terceiros for comprometido, pode resultar no roubo ou uso indevido de credenciais e permissões.

4. Autenticação insegura

Identidades não-humanas frequentemente dependem de métodos de autenticação obsoletos ou fracos para conectar serviços e sistemas. A utilização de protocolos obsoletos ou práticas deficientes de autenticação pode facilitar aos atacantes a imitação de componentes de confiança.

5. NHIs com privilégios excessivos

Às vezes, identidades não humanas recebem mais acesso do que precisam, apenas por conveniência. Se uma dessas identidades for comprometida, os atacantes podem explorar as permissões em excesso para se mover lateralmente ou escalar os seus ataques.

6. Configurações inseguras de implementação em nuvem

Ferramentas de CI/CD baseadas na nuvem muitas vezes requerem credenciais para implantar software, mas desconfigurações, como armazenar credenciais em texto simples, podem expor esses segredos. Se os atacantes obtiverem acesso a essas credenciais, podem ganhar controlo sobre ambientes de produção.

7. Segredos de longa duração

Segredos que nunca expiram ou são válidos por períodos prolongados são especialmente perigosos se comprometidos. Um atacante com acesso a um segredo de longa duração poderia explorá-lo durante meses ou anos sem ser detetado.

8. Falta de isolamento do ambiente

Reutilizar as mesmas identidades não-humanas em diferentes ambientes (por exemplo, desenvolvimento, staging, produção) aumenta o risco. Um comprometimento num ambiente de menor risco pode levar a acesso não autorizado a sistemas críticos se as fronteiras de identidade não forem aplicadas.

9. Reutilização do NHI entre sistemas

Usar a mesma identidade não humana para múltiplos sistemas ou serviços pode parecer eficiente, mas cria um único ponto de falha. Se um sistema for comprometido, todos os outros sistemas que utilizam a mesma identidade podem também ser expostos.

10. Uso indevido de NHIs por humanos

Às vezes, os desenvolvedores utilizam identidades não humanas para aceder manualmente aos sistemas, contornando os controlos destinados a utilizadores humanos. Esta prática torna a atividade difícil de rastrear e elimina a responsabilidade, criando pontos cegos na monitorização de segurança.

Ataques no mundo real

Com a dimensão significativa da superfície de ameaça do NHI, não é surpreendente que agentes mal-intencionados e estados-nação explorem lacunas de segurança. Podem ser especialmente difíceis de detectar porque os NHIs que interagem com os sistemas têm autenticação incorporada para contornar a deteção de ameaças.

Aqui estão algumas violações recentes que foram rastreadas até problemas de identidade não humana.

GitHub Actions

Um ataque à cadeia de fornecimento no GitHub Actions resultou numa exposição generalizada de credenciais. Atacantes comprometeram a conta privilegiada de um mantenedor, permitindo-lhes modificar etiquetas de pacotes e redirecionar utilizadores para uma carga útil maliciosa que extraiu segredos de membros do servidor utilizando fluxos de trabalho CI/CD acessíveis ao público.

Tesouro dos EUA

O Departamento do Tesouro dos EUA sofreu uma grande violação de segurança quando hackers patrocinados pelo estado chinês exploraram uma chave API comprometida da BeyondTrust, um fornecedor terceirizado de cibersegurança, para aceder a estações de trabalho de funcionários e documentos não classificados.

AWS

Mais de 230 milhões de ambientes na nuvem foram comprometidos ao explorar credenciais AWS armazenadas de forma insegura. Chaves AWS, tokens de API e senhas de bases de dados foram expostos, os quais os atacantes usaram para escalar privilégios.

O New York Times

A violação do GitHub do The New York Times em janeiro de 2024 ocorreu quando os atacantes exploraram um token do GitHub exposto, permitindo-lhes roubar 270GB de código-fonte interno e documentação de TI, que mais tarde foi divulgada no 4chan.

Floco de neve

Dados sensíveis de mais de 165 empresas foram expostos usando credenciais não seguras sem autenticação multifator (MFA) e rotação de credenciais. Chaves de credenciais roubadas foram usadas para aceder a contas Snowflake sem interação humana.

Dropbox

Os atacantes abusaram de uma conta de serviço, aproveitando-se de chaves de API e tokens OAuth para violar o ambiente de produção do Dropbox Sign. Dados de clientes, nomes de utilizadores e palavras-passe encriptadas foram expostos.

Proteger o seu ambiente

Em quase todos os casos, as violações de NHI resultam de uma falha em proteger adequadamente segredos, credenciais ou ambientes pelos utilizadores. O ataque de identidade não humana mais comum resulta de erro humano, sublinhando a necessidade crítica de medidas de segurança para proteger informações sensíveis, independentemente de onde estão armazenadas ou da forma em que se encontram.