Rubrik ha sido en los últimos años una de las startups de moda en el mundo tecnológico. A principios de este año se conocía que la compañía, especialista en la gestión de datos en la nube para simplificar las labores de backup y recuperación de las empresas, había recaudado 261 millones de dólares en su última ronda de financiación, en una operación dirigida por Bain Capital Ventures. En total, Rubrik ha recaudado de más de 550 millones de dólares en rondas de financiación, alcanzando una valoración de mercado de 3.300 millones de dólares.
Sin embargo, ahora la compañía, fundada por el programador indio Bipul Sinha en 2014 y que desde hace dos años cuenta con filial en España, se enfrenta a la revelación, publicada por la página TechCrunch, de un agujero en sus sistemas que ha sido localizado por el experto en seguridad Oliver Hough. En concreto, uno de servidores de la compañía ha permanecido sin password, permitiendo a cualquiera acceder a él. En todo caso, la compañía dejó offline el servidor el martes, al cabo de una hora de recibir la alerta de TechCrunch.
Base de datos de soporte
La base de datos que albergaba el servidor al descubierto, que estaba alojado en Amazon, contenía decenas de gigabytes con nombres de clientes y datos de contactos. A través de esta base de datos, los clientes corporativos pueden interactuar con el personal de Rubrik y formularle sus quejas, lo que incluye e-mails donde aparecen sus firmas, puestos de trabajo o números de teléfono. Además, TechCrunch ha descubierto información sensible sobre configuraciones de los clientes.
Paradójicamente, Rubrik hace poco anunció su intención de entrar en el mercado de servicios de seguridad y compliance. Según TechCrunch, entre los clientes de la compañía están administraciones como el Gobierno de Escocia o el Departamento de Defensa de los Estados Unidos. Pero en la base de datos que ha quedado al descubierto había información de Deloitte, Shell o el Servicio Nacional de Salud del Reino Unido, entre otros.
Un portavoz de Rubrik ha confirmado que mientras que la compañía estaba desarrollando una nueva solución de soporte gracias un entorno aislado (sandbox), datos corporativos y de soporte estuvieron “potencialmente accesibles por un corto periodo de tiempo”. Sin embargo, la compañía también asegura que rectificó inmediatamente desconectando el servidor.
Además, desde Rubrik han confirmado a TechCrunch que no hubo datos propiedad de los clientes que estuvieran expuestos durante el tiempo de brecha y, más importante, que nadie, excepto el investigador de seguridad que descubrió el fallo, accedió a la sandbox, aunque no ha proporcionado evidencias, según la publicación, de tal hecho.
El portavoz de Rubrik al que hace referencia TechCrunch asegura que el fallo en el sistema fue debido a un error humano y que la compañía ya ha cambiado los procesos para que no vuelva a ocurrir.
Tampoco se sabe si Rubrik ha notificado a sus clientes o las autoridades sobre esta puerta abierta en sus sistemas. Hay que recordar que la compañía tiene clientes europeos protegidos por el GDPR y que las penas que estipula el reglamento en caso de desprotección de los datos pueden llegar al 4% de los ingresos globales de la compañía en un año.
TechCrunch recuerda también que hace sólo unos meses, Veeam, compañía que también se dedica a la gestión de datos y de backup, tuvo expuestas millones de direcciones de e-mail de sus clientes.