Cloudera haalt AWS buckets offline na vondst gevoelige informatie

Abonneer je gratis op Techzine!

Cloud- en datagigant Cloudera heeft een aantal open op AWS draaiende cloud storage servers of ‘buckets’ offline gehaald. De actie volgt op de ontdekking van securityspecialist UpGuard. De open buckets bevatten gevoelige interne informatie.

Volgens TechCrunch bleek uit onderzoek van de securityspecialist dat verschillende standaard openstaande cloud storage servers gevoelige interne informatie bevatten. De AWS cloud storage servers of buckets waren expres door Cloudera opengezet voor klanten en de community. Hierdoor kregen zij toegang tot onder meer bestanden en code die zij konden gebruiken om hun diensten rondom Cloudera te verbeteren.

Vertrouwelijke informatie

De bewuste AWS-buckets bleken echter ook vertrouwelijke informatie te bevatten. Volgens UpGuard was dit vooral oude HortonWorks-informatie, die na de overname in 2019 in handen van Cloudera is gekomen. Bij deze data ging het vooral om wachtwoorden, account access tokens, wachtwoorden en andere gevoelige informatie voor het interne Jenkins-systeem van Cloudera. Dit platform gebruik de cloud- en datagigant voor het bouwen en testen van zijn eigen softwareprojecten. In de buckets bevinden zich ook complete SQL-databases voor de in eigen beheer gebouwde databases van Cloudera.

Reactie Cloudera

In eerste reactie regaeerde Cloudera op de ontdekking door drie bestanden uit de AWS-buckets te verwijderen. Pas in een later stadium, toen uit dieper onderzoek bleek dat er nog veel meer gevoelige interne data aanwezig was, werden de bewuste AWS-buckets compleet offline gehaald. Cloudera heeft UpGuard bedankt voor de tip.

Risico’s

UpGuard wijst gebruikers erop dat het opslaan van grote hoeveelheden informatie in cloudgebaseerde storage-omgevingen de nodige risico’s met zich meebrengt. Doordat de bewuste buckets zo groot waren, werd het bijna onmogelijk om te signaleren wanneer -per ongeluk- gevoelige data wordt opgeslagen. Volgens UpGuard was dit dus duidelijk het geval in de Cloudera-zaak.

Tip: Wat de fusie van Cloudera en Hortonworks betekent voor de data analist en de business