Компании пропускают конфиденциальные файлы через аккаунты Box

Утечки обнаружены в Apple, Discovery Channel, Herbalife, Schneider Electric и даже в самой Box.

Компании, которые используют Box.com в качестве облачной системы размещения и обмена файлами, могут случайно раскрыть внутренние файлы, конфиденциальные документы или запатентованную технологию.

Больше новостей о безопасности

Обнаружение происходит из-за человеческой ошибки, говорит Adversis, фирма по кибербезопасности, которая исследовала эту проблему и работала с Box и затронутыми компаниями, чтобы исправить ее.

Проблема заключается в владельцах аккаунтов Box.com, которые не устанавливают уровень доступа по умолчанию Люди в вашей компании для ссылок на файлы и папки, оставляя все вновь созданные ссылки доступными для общественности.

Если организация также позволяет пользователям настраивать ссылку с помощью тщетных URL-адресов вместо использования случайных символов, то ссылки на эти файлы можно угадать с помощью атак по словарю.

Это то, что Adversis сделал в прошлом году. Компания утверждает, что сканировала Box.com на наличие учетных записей, принадлежащих крупным компаниям, и пыталась угадать тщетные URL-адреса файлов или папок, которыми сотрудники пользовались в прошлом.

Его усилия были не напрасны. В опубликованном сегодня отчете Adversis говорится, что он обнаружил ряд очень конфиденциальных данных, таких как:

  • Сотни паспортных фотографий
  • Номера социального страхования и банковского счета
  • Высокотехнологичные файлы прототипов и дизайна
  • Списки сотрудников
  • Финансовые данные, счета, трекеры внутренних проблем
  • Списки клиентов и архивы лет внутренних встреч
  • ИТ-данные, конфигурации VPN, сетевые диаграммы

Похожие записи

Складной телефон Huawei Mate X 5G с Kirin 980 SoC,... Складной телефон Huawei Mate X 5G с дизайном Falcon Wing был анонсирован на мероприятии перед MWC 2019 Особенности Первый складной смартфон 5G от Hu...

TechCrunch, который был осведомлен о некоторых результатах исследований Adversis, сказал, что некоторые из компаний, которые раскрыли внутренние файлы, в том числе Apple, Discovery Channel, Herbalife, Schneider Electric и даже сам Box.

Большинство из этих утечек файлов были исправлены, и Box уведомил всех клиентов в сентябре прошлого года об опасностях использования неправильных разрешений доступа для ссылок на общий доступ Box.com.

ZDNet ранее связался с Боксом и спросил об инструментах и ​​функциях, которые компании имеют в своем распоряжении для проверки своего портфеля общедоступных ссылок.

Мы предоставляем инструменты администратора для запуска различных отчетов по открытым ссылкам по всему предприятию, а также для отключения открытых и пользовательских URL-адресов для своего предприятия. Представитель Box сказал нам по электронной почте. Администраторы также могут убедиться, что «Люди в компании» являются настройками по умолчанию для всех общих ссылок, чтобы ограничить возможность для пользователя непреднамеренно установить [файл] как общедоступный.

Мы также спросили, видел ли Box сокращение количества ссылок на акции, которые установлены с публичным доступом, с сентября прошлого года после того, как компания разослала свое предупреждение безопасности.

Мы не проводим предварительную проверку развертываний наших клиентов, но если клиентам нужна помощь или нам нужно изучить конкретную проблему, мы будем работать с ними, чтобы изучить их ссылки и выявить любые потенциальные проблемы, сказал представитель коробки.

Владельцам учетных записей Box.com рекомендуется просмотреть настройки своих учетных записей и использовать инструменты, описанные Box в сегодняшнем блоге, чтобы увидеть, сколько общедоступных ссылок было создано сотрудниками в прошлом.

Некоторые из этих общедоступных URL-адресов ящиков могут содержать неважные файлы, но некоторые могут содержать проприетарную технологию, которую сотрудники могли случайно поместить в общедоступную ссылку, использующую тщеславный URL-адрес.

Похожие записи

Складной телефон Huawei Mate X 5G с Kirin 980 SoC,... Складной телефон Huawei Mate X 5G с дизайном Falcon Wing был анонсирован на мероприятии перед MWC 2019 Особенности Первый складной смартфон 5G от Hu...

Исследователь безопасности Робби Уиггинс сказал ZDNet В сегодняшней беседе в Твиттере он ожидает, что в ближайшие дни будет проведено сканирование открытых URL-адресов Box.

Компании пропускают конфиденциальные файлы через аккаунты Box

Он основал свое заявление на том факте, что Adversis также использовал инструмент, который они использовали в прошлом году. Этот инструмент теперь на GitHub и доступен каждому.

Виггинс, который сегодня запускал инструмент на несколько часов раньше, говорит, что он идентифицировал несколько технологических компаний с учетными записями Box, но пока не нашел открытых файлов для общественности.

Эти сканы обязательно должны занять много времени. По умолчанию все новые ссылки на общие ресурсы Box генерируются с использованием случайных символов, и пользователям необходимо целенаправленно изменять URL-адрес, используя термины тщеславия. Это означает, что даже если у компании имеется большое количество общедоступных файлов и папок, размещенных в Box, не все из них будут иметь уникальные URL-адреса. их будет легко найти с помощью сканера Adversis.

Это все равно что искать иголку в стоге сена, но если эти непреднамеренно открытые файлы содержат высокочувствительные документы, то хакеры должны получить большую зарплату, а охотники за ошибками ждут большой награды от компании, которая просочилась в файлы. первое место.

Представитель Bugcrowd, платформы баунти-багов, не смог сказать ZDNet сколько отчетов об ошибках было отправлено в прошлом, детализируя утечки данных, вызванные учетными записями Box. Однако это не означает, что компании не готовы платить исследователям, которые их найдут.

За последние четыре года в Bugcrowd наблюдались многочисленные инциденты, связанные с конфиденциальностью и безопасностью, связанные с неправильной настройкой общего доступа к файлам. Джейсон Хаддикс, вице-президент по исследованию роста, Bugcrowd, рассказал ZDNet по электронной почте.

Наши ответственные владельцы программ обычно принимают эти инциденты и вознаграждают их с помощью программ вознаграждения за ошибки. Затем группы безопасности используют эти инциденты как возможность усилить свои настройки и политики разрешений для общего доступа к файлам.

Похожие записи

Складной телефон Huawei Mate X 5G с Kirin 980 SoC,... Складной телефон Huawei Mate X 5G с дизайном Falcon Wing был анонсирован на мероприятии перед MWC 2019 Особенности Первый складной смартфон 5G от Hu...