安全研究揭示,Box云端硬盘服务的共享链接功能可能导致企业客户机密档案泄露,涉及苹果等90多家企业,资料包括隐私信息、产品设计、财务数据等。
安全厂商发现云端硬盘服务业者Box分享的链接共享功能,使企业客户机密档案可能外泄,传包括苹果在内等90多家企业客户受到影响。和AWS S3文件夹一样,Box Enterprise的客户可以将档案与文件夹以连结方式分享给公司或特定用户。Box的企业客户会被分配一个自有子域,储存在Box子域的文件可以独有的URL分享给他人。一般情形下,这个URL若只分享给同一子域的用户就没有问题,但Box的客制共享链接功能(custom shared link)也允许企业用户将URL分享给外部人士,只要开放存取档案的权限给「People with the Link」即可。因此只要这些URL外流,就能导致公司资料曝光。
Adversis研究人员去年九月做了一次测试。他们发现共享URL的格式都一样是https://<companyname>.app.box.com/v/<file/folder>,因此透过在公司名及档案/文件夹名称部分代换不同公司名及档案/数据名,找到可能的公司子域再配合暴力破解密码,结果就得到大量Box上近百家企业数十万份文件及数百TB的数据。根据Techcrunch的报导,受影响企业包括苹果、电视网Discovery及爱德曼(Edelman)公关公司等知名公司九十余家。研究人员发现的资料中,包含相当隐私的信息,像是数百张护照相片、员工社会安全码及银行账号;重要产品的原型和设计文件;员工名册;财务数据、订单编号;客户名单及公司内部会议纪录、IT 数据、VPN组态及网络拓墣图等。
这些Box客户账号有不少已有数千份敏感文件即将曝光。研究人员发现后,一开始还打算通知所有受影响的企业,但很快就发现数量实在太庞大而不可行。于是他们只能通知极机密数据已曝险的企业以及Box公司。研究人员表示,如果企业用户有使用Box,极可能也在这些曝险名单之列。研究人员指出,严格来说这并不是臭虫,而是一项功能,只是没好好管理就会导致数据外泄。为免企业用户不慎受害,Box公告指出,除了Box额外提供的安全防护,企业管理员可以限定分享连结的访问权限,由任何取得链接的用户,改为仅同一公司邮件网域的Box账号持有人,或甚至仅有获邀分享的人才能存取。一如Box,AWS S3也多次传出因为用户或外包商未设定密码等不当组态,导致美国选民数据、用户数据及军武部署数据等差点让外人看光。
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
