Cloudera从其“按设计打开”的云服务器中提取敏感文件

2020-08-24 23:52:58

安全公司UpGuard的风险研究主管克里斯·维克里(Chris Vickery)在7月下旬发现了托管在亚马逊网络服务上的云存储服务器-即所谓的Buckets。这些数据主要包含Hortonworks在2019年1月与Cloudera进行52亿美元全股票合并之前的遗留数据。

当联系到Cloudera发言人马奇·米勒(Madge Miller)时,他告诉TechCrunch,这些存储桶应该是开放的,其中包含对其客户、用户和更广泛的社区开放的文件和代码。然而,该公司表示,它发现了三个包含机密信息的文件,并已从存储桶中删除。

维克里独家与TechCrunch分享了他的发现,他说,尽管云存储桶中的绝大多数文件是供公众和社区使用的,但他也发现了包含Cloudera内部Jenkins系统的凭据、账户访问令牌、密码和其他机密的文件,该公司使用该系统来构建和测试其软件项目。Vickery说,这些存储桶还包含其内部构建数据库的整个SQL数据库。

“多亏了安全研究人员的问题,我们进行了深入调查,在公共桶中发现了一些本不应该放在那里的凭据和SQL转储。证书用于我们内部的Jenkins构建过程,SQL转储来自我们的构建数据库,“这位发言人说。

“自那以后,我们已将此信息从公共存储桶中删除,并通过更改凭据和轮换密钥采取了进一步的补救措施。我们还得出结论,我们可以关闭几个未使用的公开访问的水桶。“。

该公司表示,自删除以来,这些敏感数据不包含任何客户数据或任何其他个人身份信息。

总而言之,安全疏忽本可以更严重-即使这起事件本可以完全避免。

但维克里表示,披露这一事件很重要,因为它揭示了使用压倒性大的云存储容器的内在风险。换句话说,存储桶太大,文件太多,当敏感的东西被错误地添加到存储桶中时,几乎不可能注意到。

维克里写道:“当那么多不同格式的目录和文件都被藏在一起时,就很容易有什么东西被错误地放在其中,而不被注意到,就像这里发生的情况一样。”