Géant du cloud d’entreprise Cloudera a mis hors ligne plusieurs de ses serveurs de stockage cloud, bien qu’il ait initialement affirmé que les serveurs étaient «ouverts par conception», après qu’un chercheur en sécurité eut découvert des fichiers internes sensibles à l’intérieur.

Chris Vickery, directeur de la recherche sur les risques chez la société de sécurité UpGuard, a trouvé les serveurs de stockage dans le cloud – appelés buckets – hébergés sur Amazon Web Services fin juillet. Les données contenaient en grande partie des données héritées d’Hortonworks antérieures à sa fusion de 5,2 milliards de dollars avec Cloudera en janvier 2019.

Une fois atteint, la porte-parole de Cloudera, Madge Miller, a déclaré à TechCrunch que les seaux étaient censés être ouverts et contenir des fichiers et du code ouverts à ses clients, utilisateurs et à la communauté au sens large. La société a toutefois déclaré avoir identifié trois fichiers contenant des informations confidentielles et avoir été retirés des seaux.

Mais peu de temps après, la société a inversé sa position et a complètement retiré les seaux.

Vickery, qui a partagé ses découvertes exclusivement avec TechCrunch, a déclaré que bien que la grande majorité des fichiers dans les seaux cloud soient destinés à la consommation publique et communautaire, il a également trouvé des fichiers contenant des informations d’identification, des jetons d’accès au compte, des mots de passe et d’autres secrets pour le système Jenkins interne de Cloudera, que l’entreprise utilise pour construire et tester ses projets logiciels. Les seaux contenaient également des bases de données SQL entières pour ses bases de données de construction internes, a déclaré Vickery.

Plus tard, Cloudera a confirmé le manque de sécurité dans un e-mail ultérieur à TechCrunch.

«Grâce aux questions du chercheur en sécurité, nous avons fait une plongée approfondie et avons trouvé des informations d’identification et des vidages SQL dans les buckets publics qui n’auraient pas dû y être placés. Les informations d’identification concernaient notre processus de construction interne de Jenkins et les vidages SQL provenaient de notre base de données de construction », a déclaré le porte-parole.

«Depuis, nous avons supprimé ces informations du public …