Una herramienta de monitoreo marca un bucket de S3 como público y contiene exportaciones de datos de clientes. ¿Cuál es tu PRIMERA acción?
Respuesta breve
Los datos de clientes expuestos públicamente son una exposición activa: remedia primero el acceso activando Block Public Access y corrigiendo la política del bucket y la política IAM para detener la fuga en curso. Luego extrae los registros de acceso (S3 server access logs / eventos de datos de CloudTrail) para evaluar qué se alcanzó realmente y activa los procesos de brecha y notificación según la política. Abrir un ticket para el próximo sprint deja datos regulados expuestos durante días. Copiar los datos a otro sitio crea una segunda copia pero deja el bucket original abierto. Renombrar no cambia nada de sus permisos.
Un bucket público con datos de clientes es un incidente en curso, no una tarea del backlog. El entrevistador evalúa si sabes por instinto detener la hemorragia antes de analizarla, y si entiendes el orden: contener, luego investigar, luego notificar.
Por qué bloquear primero es lo correcto
Cada minuto que el bucket permanece público, cualquiera puede enumerar y extraer más datos, incluidos escáneres automatizados que rastrean constantemente buckets abiertos. Activar Block Public Access y corregir la política de bucket o la ACL defectuosa cierra la exposición en segundos y es reversible. Solo después de cerrar la fuga investigas el alcance: extrae los S3 server access logs y los eventos de datos de CloudTrail para ver qué objetos se listaron o descargaron y desde dónde. Esa evidencia guía la decisión de brecha y cualquier notificación regulatoria (por ejemplo, el plazo de 72 horas del RGPD para datos personales).
Por qué las otras opciones son incorrectas
- Abrir un ticket para el próximo sprint. Esto trata una exposición activa de datos como mantenimiento rutinario. Datos regulados de clientes quedarían abiertos durante días mientras atacantes y scrapers se sirven: un fallo de criterio evidente.
- Copiar los datos a otro bucket y dejar el antiguo público. Esto no cierra en absoluto la exposición; el bucket original sigue siendo legible por todo el mundo. Además has creado una segunda copia de datos sensibles que asegurar.
- Renombrar el bucket. Los permisos viajan con el objeto y la política, no con el nombre. Un bucket renombrado pero aún público está exactamente igual de expuesto, y los nombres de bucket son globales y descubribles de todos modos.
Qué buscan los entrevistadores
La marca de una buena respuesta es la secuencia: contener, luego evaluar, luego notificar, nombrando el control específico (Block Public Access) más la evidencia específica (registros de acceso / eventos de datos de CloudTrail). Puntos extra si mencionas además buscar otros buckets públicos en toda la cuenta, ya que una mala configuración suele indicar una salvaguarda ausente más que un error aislado.
Posibles preguntas de seguimiento
- ¿Qué registros te dirían si los datos se descargaron realmente, y cuáles son sus límites?
- ¿En qué momento esto se convierte en una brecha notificable bajo el RGPD, y quién lo decide?
- ¿Cómo evitarías que cualquier bucket se volviera público en toda la cuenta?