Afbeelding: Doos
Bedrijven die gebruik maken van Box.com als een op de cloud gebaseerde file hosting en sharing-systeem kan per ongeluk bloot interne bestanden, gevoelige documenten, of merkgebonden technologie.
De blootstelling optreedt als gevolg van een menselijke fout, zei Adversis, de cyber-security bedrijf die dit probleem nader te onderzoeken en werkte met Doos en getroffen bedrijven om dit te corrigeren.
Het probleem ligt bij Box.com account eigenaren die niet een standaard toegangsniveau van “de Mensen in uw bedrijf” voor het bestand/de map van het delen van links, waardoor alle nieuw aangemaakte links toegankelijk is voor het publiek.
Als de organisatie het ook mogelijk gebruikers voor het aanpassen van de link met vanity-Url ‘ s in plaats van met willekeurige tekens, dan zijn de links van deze bestanden kan worden geraden met behulp van een woordenboek aanval.
Dit is wat Adversis vorig jaar deed. Het bedrijf zegt dat het gescand Box.com voor accounts van grote bedrijven, en probeerde te raden vanity Url ‘ s van de bestanden of mappen die medewerkers gedeeld in het verleden.
Zijn inspanningen waren niet tevergeefs. In een vandaag gepubliceerd rapport, Adversis zei dat het vinden van een schat van zeer gevoelige gegevens, zoals:
Honderden paspoort foto ‘ s van de Sociale Zekerheid en bankrekeningnummers High profile technologie prototype en ontwerp-bestanden Medewerkers lijsten Financiële gegevens, facturen, interne issue trackers klantenlijsten en archieven van jaren van interne vergaderingen data, VPN-configuraties, netwerk-diagrammen
TechCrunch, die was ingewijd in een aantal van de Adversis’ de resultaten van het onderzoek, zei dat sommige van de bedrijven die blootgesteld zijn interne bestanden die zijn opgenomen zoals Apple, Discovery Channel, Herbalife, Schneider Electric, en zelfs de Doos zelf.
De meeste van deze lekken zijn opgelost, en Vak aangemelde alle klanten in September vorig jaar van de gevaren van het gebruik van onjuiste machtigingen voor Box.com deel links.
ZDNet bereikt Vak eerder vandaag en vroeg over de tools en functies die bedrijven hebben op hun verwijdering te inspecteren hun portfolio van publiekelijk toegankelijke koppelingen.
“We bieden admins tools voor het uitvoeren van de verschillende rapporten op koppelingen openen in hun onderneming en uitschakelen open en aangepaste Url’ s voor hun onderneming,” een Vak woordvoerder vertelde ons op via e-mail. “Admins kunnen er ook voor zorgen dat ‘Mensen in Bedrijf’ is de standaardinstelling voor alle gedeelde links op het beperken van de mogelijkheden voor een gebruiker om een [bestand] als openbare per ongeluk.”
We hebben ook gevraagd als Vak zagen een daling in het aantal aandelen-links die zijn ingesteld met toegang van het publiek sinds September vorig jaar nadat het bedrijf verzonden uit het security alert.
“We hoeven niet proactief scannen van onze klanten, implementaties, maar als de klanten nodig hebben of hulp nodig heeft voor het onderzoeken van een specifiek probleem dat we samen met hen te onderzoeken, de banden en het identificeren van potentiële problemen,” het Vak woordvoerder gezegd.
Box.com account eigenaren worden geadviseerd om hun account instellingen en gebruik de tools die Vak beschreven in een blog-post vandaag om te zien hoeveel publiek toegankelijke links werknemers hebben gemaakt in het verleden.
Een aantal van deze openbare Vak Url ‘ s kunnen onderbrengen onbelangrijke bestanden, maar soms is de host gepatenteerde technologie die werknemers per ongeluk hebt geplaatst in een voor het publiek toegankelijke link die gebruik maakt van een vanity URL.
Security-onderzoeker Robbie Wiggins vertelde ZDNet in een Twitter gesprek vandaag dat hij verwacht dat de scans voor de openbare Vak Url ‘ s te exploderen in de komende dagen.
Hij baseerde zijn uitspraak op het feit dat Adversis ook open-source is de tool die ze gebruikt het afgelopen jaar. Deze tool is nu te vinden op GitHub en voor iedereen beschikbaar.
Wiggins, die liep van de tool voor een paar uur eerder vandaag, zegt hij identificeerde meer dan 2900 bedrijven met Doos rekeningen maar niet vinden bestanden open voor het publiek gewoon nog niet.
Deze scans zijn gebonden te veel tijd in beslag nemen. Standaard worden alle nieuwe Vak delen links worden gegenereerd met behulp van willekeurige tekens, en de gebruikers moeten op het wijzigen van de URL met onderkast voorwaarden op doel. Dit betekent dat zelfs als een bedrijf een groot aantal openbaar toegankelijke Vak-gehoste bestanden en mappen, niet alle van hen zou hebben vanity Url ‘ s –en makkelijk te vinden met de Adversis scan tool.
Het is als zoeken naar een speld in een hooiberg, maar als deze per ongeluk wordt blootgesteld bestanden bevatten zeer gevoelige documenten, dan hackers zijn gebonden voor een grote betaaldag, en bug jagers in de rij voor een grote beloning van het bedrijf dat de gelekte bestanden in de eerste plaats.
Een woordvoerder van Bugcrowd, een bug bounty-platform, was niet in staat om te vertellen ZDNet hoe veel bug-rapporten zijn ingediend in het verleden detaillering van het lekken van data veroorzaakt door Vak-accounts. Echter, dit betekent niet dat het bedrijf niet bereid zijn te betalen onderzoekers die vinden.
“Bugcrowd heeft gezien vele privacy – en security-gerelateerde incidenten in verband met file sharing onjuiste gedurende de afgelopen vier jaar,” Jason Haddix, vice-president van de Onderzoeker Groei, Bugcrowd, vertelde ZDNet via e-mail.
“Onze verantwoordelijke programma-eigenaren meestal niet accepteren van deze incidenten en hen belonen door bug bounty ‘programma’ s. Security teams gebruiken deze incidenten als een kans voor het versterken van hun file-sharing rechten-instellingen en het beleid.”
Meer data breach dekking:
Chinese bedrijf verlaat met een Moslim-tracking-gezichtsherkenning-database blootgesteld onlineCitrix onthult inbreuk op de beveiliging van interne networkPOS bedrijf zegt hackers geplant malware op de klant networksHackers probeerde te stelen: €13 miljoen) van Malta ‘ s Bank of Valletta
Chinese hacken van de groep backdoors producten van drie Aziatische gaming companiesSaudi beller-ID app bladeren gegevens van 5+ miljoen gebruikers in een niet-beveiligde MongoDB serverMassive schending lekken 773 miljoen e-mail adressen, 21 miljoen wachtwoorden CNET
Hackers zetten om diefstal van data en wederverkoop op de Donkere Web voor hogere uitgaven TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters