Fuite des données confidentielles chez Cloudera
Durant le mois de juillet dernier, la société spécialisée dans les activités de cybersécurité avait signifié à la société Cloudera, la disponibilité en ligne de certains fichiers Hortonworks en ligne sans aucune protection.
Des données qui contiennent potentiellement des informations très sensibles. Les experts de la société de cybersécurité ont soulevé l’importance de mettre en place au plus tôt et l’ensemble de pratique en permettant de sécuriser ce genre de données et pour empêcher de la sorte leur fuite
Cet article va aussi vous intéresser : La sécurité des services cloud selon Check Point
Parmi les fichiers exposés sur le serveur non protégé, UpGard a détecté des fichiers portant le titre « BuildsToDelete » où sont les fichiers, disponible pour téléchargement sur un bucket de stockage S3.
Cette situation d’espèce qui démontrent encore que la sécurisation des données n’est pas totalement un fait acquis, surtout ou une simple mauvaise configuration pour que des données stockées sur un serveur ou des serveur cloud puisse facilement échapper à la surveillance de leurs gardiens.
Mais dans ce cas, il faut spécifier quelque chose de particulier. En effet les fichiers appartenaient où était sous le contrôle de Hortonworks, ex-concurrent de Cloudera. Il a été racheté par ce dernier en janvier 2019, combiné ainsi sa technologie de stockage à celle de Cloudera.
Parmi toutes ces informations laissé à libre accès sur le web, les chercheurs de la société de cybersécurité ont affirmé découvrir des identifiants de connexion à les systèmes d’information internes de développeurs sur le projet Open Source Apache Hadoop auquel contribuait Hortonworks. Quelques manquements qui furent décrits par la société de cybersécurité et cela aurait été rapporté par le média en ligne Techcrunch.
C’est dans un billet de blog qu’on pouvait lire que UpGard avait fait la découverte d’un compartiment (bucket) de stockage cloud configuré pour un accès public à l’adresse « dev.hortonworks.com.s3.amazonaws.com ».
En étudiant ce compartiment, les spécialistes de la cybersécurité de l’entreprise ont alors pensé qu’il pouvait se trouver des informations de nature sensible. C’est alors qu’ils l’ont signalé sans tarder à la société responsable de ce serveur le 27 juillet précisément. Le 8 août suivant, l’entreprise a alors répondu à la société de cybersécurité en lui disant qu’elle avait non seulement enquêté sur le problème, mais avait réussi à y remédier. Cloudera explique alors que les buckets S3 étaient toujours ouvert pour permettre à certaines personnes d’effectuer des téléchargements. Et que les 3 fichiers qui ont été supprimées le 3 juillet étaient les seuls qui avaient la chance de contenir des informations confidentielles.
Cependant quelques jours plus tard, Cloudera informe la société de cybersécurité par un mail elle indiquait qu’elle s’était aperçue que dans certains fichiers qui sont toujours accessibles de façon publique se trouvait une sauvegarde de son système « Jenkins », un outil informatique utilisé pour « collaborer et automatiser le cycle de vie des développements ».
Ce système est connu stocké plusieurs informations, notamment des noms d’utilisateurs des développeurs ainsi que leur mot de passe chiffrés. Après quelques vérifications menées par la société de cybersécurité, il a été découvert que les accès public compartiment dev.hortonworks.com avaient effectivement été supprimés.
Après tout ceci, Cloudera aurait mentionné à la société de sécurité qu’elle était ouverte à toute autre information concernant de potentiel exposition de données qui aurait pu être constaté par cette dernière. « Nous apprécions toujours une réponse constructive comme celle-ci », commente l’entreprise dans son billet de blog. « Une communication ouverte réduit les risques et accélère la correction ».
De son côté, UpGard souligne : « Cet incident illustre les risques inhérents aux conteneurs de stockage cloud extrêmement volumineux ». Elle signifie avoir récupéré près de 2,4 go de texte on va semblant tout simplement les noms des fichiers sans aucun contenu. Elle estime alors que pour ce qui est de l’enregistrement des fichiers ayant du contenu aura peut prendre beaucoup plus de temps, eu égard au volume de ceux-ci quand bien même que l’usage serait automatisé. « Ce qui donne une idée du temps qu’il faudrait pour en examiner manuellement le contenu ». Malgré cela il ne faut pas oublier le fait que au milieu de tous ces fichiers peu importe la masse, se trouve des identifiants de connexion pouvant permettre d’atteindre le cœur de logiciels en développement de Hortonworks.
Le plus grave problème se situe à un autre niveau. Le temps de réponse déployée par la société pour s’assurer du problème. « Il a fallu onze jours à Cloudera/Hortonworks pour reconnaître la véritable gravité et l’étendue du problème ». Signifie UpGard.
Accédez maintenant à un nombre illimité de mot de passe :