Cloudera从其“按设计打开”的云服务器中提取敏感文件

安全公司UpGuard的风险研究主管克里斯·维克里(Chris Vickery)在7月下旬发现了托管在亚马逊网络服务上的云存储服务器-即所谓的Buckets。这些数据主要包含Hortonworks在2019年1月与Cloudera进行52亿美元全股票合并之前的遗留数据。

当联系到Cloudera发言人马奇·米勒(Madge Miller)时，他告诉TechCrunch，这些存储桶应该是开放的，其中包含对其客户、用户和更广泛的社区开放的文件和代码。然而，该公司表示，它发现了三个包含机密信息的文件，并已从存储桶中删除。

维克里独家与TechCrunch分享了他的发现，他说，尽管云存储桶中的绝大多数文件是供公众和社区使用的，但他也发现了包含Cloudera内部Jenkins系统的凭据、账户访问令牌、密码和其他机密的文件，该公司使用该系统来构建和测试其软件项目。Vickery说，这些存储桶还包含其内部构建数据库的整个SQL数据库。

“多亏了安全研究人员的问题，我们进行了深入调查，在公共桶中发现了一些本不应该放在那里的凭据和SQL转储。证书用于我们内部的Jenkins构建过程，SQL转储来自我们的构建数据库，“这位发言人说。

“自那以后，我们已将此信息从公共存储桶中删除，并通过更改凭据和轮换密钥采取了进一步的补救措施。我们还得出结论，我们可以关闭几个未使用的公开访问的水桶。“。

该公司表示，自删除以来，这些敏感数据不包含任何客户数据或任何其他个人身份信息。

总而言之，安全疏忽本可以更严重-即使这起事件本可以完全避免。

但维克里表示，披露这一事件很重要，因为它揭示了使用压倒性大的云存储容器的内在风险。换句话说，存储桶太大，文件太多，当敏感的东西被错误地添加到存储桶中时，几乎不可能注意到。

维克里写道：“当那么多不同格式的目录和文件都被藏在一起时，就很容易有什么东西被错误地放在其中，而不被注意到，就像这里发生的情况一样。”