Cloudera deja expuestos los datos confidenciales

Fue el turno de Cloudera de exponer los datos configurando mal su almacenamiento en la nube. En este caso, los archivos considerados estaban bajo el control de Hortonworks, antiguo competidor de Cloudera adquirido por este último en enero de 2019 y cuya tecnología ahora se combina con la de su comprador. En medio de terabytes de archivos que se dejaron abiertos al público, como parte de Hortonworks & # 39; contribución al proyecto Apache Hadoop de código abierto, también fueron una gran cantidad de ID de sistema e información interna del desarrollador. El problema, detectado y descrito por la empresa de ciberseguridad UpGuard, fue informado por Techcrunch.

En una publicación, UpGuard explica que encontró un depósito de almacenamiento en la nube configurado para acceso público en "dev.hortonworks.com.s3.amazonaws.com". Al examinarlo, sus expertos en seguridad estimaron que podría haber alguna información sensible allí e informaron el hallazgo a Cloudera el 27 de julio. El 8 de agosto, este último respondió que había investigado el problema y lo había solucionado, explicando que los buckets S3 permanecían abiertos. para permitir descargas, agregando que solo 3 archivos, eliminados el 30 de julio, potencialmente contenían información confidencial. . Pero unos días después, otro correo electrónico llegó a UpGuard en el que Cloudera indicó que había notado que una copia de seguridad de su sistema Jenkins, que se usa para colaborar y automatizar el ciclo de vida del desarrollo, también se encontraba entre los archivos accesibles de esa manera. público. Este sistema almacenaba los desarrolladores & # 39; nombres de usuario y sus contraseñas encriptados. Después de la verificación, UpGuard descubrió que todo acceso público al compartimento dev.hortonworks.com había sido eliminado. La firma de ciberseguridad agrega que Cloudera, al mismo tiempo, le dijo que estaba tomando cualquier otro detalle de exposición de datos que UpGuard podría haber visto. "Siempre agradecemos una respuesta constructiva como esta", comenta este último en su publicación. "La comunicación abierta reduce el riesgo y acelera la reparación".

2,4 GB de texto combinando solo los nombres de los archivos almacenados

“Este incidente ilustra los riesgos inherentes a los contenedores de almacenamiento en la nube extremadamente grandes”, dice UpGuard. La empresa explica que después de varias horas de grabar los nombres de los archivos disponibles para descargar, había recuperado 2,4 GB de texto, simplemente juntando los nombres de los archivos, sin ningún otro contenido. Al hacerlo, UpGuard destaca que el tamaño de estos contenedores de archivos es tal que incluso los procesos completamente automatizados (descarga y búsqueda de texto) parecen lentos, "lo que da una idea de cuánto tiempo llevaría revisarlos manualmente. Contenido". Sin embargo, dentro de esta enorme masa de archivos había identificadores que se encontraban en el corazón del desarrollo de software de Hortonworks.

Y UpGuard recuerda que Cloudera tiene las empresas más grandes entre sus clientes. De ahí la importancia vital de poner en marcha prácticas de seguridad que eviten las fugas de datos, insiste la firma de ciberseguridad. La reducción de los tiempos de reacción al descubrimiento de configuraciones erróneas que exponen los datos también es clave, agrega, y señala que “a Cloudera / Hortonworks le llevó once días reconocer la verdadera gravedad y extensión del problema. ".