Bild: Box
Företag som använder Box.com som en moln-baserad fil hosting och utbyte av system kan vara av misstag utsätta interna filer, känsliga dokument, eller proprietär teknik.
Den exponering som uppstår på grund av den mänskliga faktorn, sa Adversis, cyber-bevakningsföretag, som har undersökt denna fråga och arbetat med Box och berörda företag för att rätta till det.
Problemet ligger med Box.com konto ägare som inte ställa in en förvald tillgång nivå av “Människor i ditt företag” för fil/mapp att dela länkar, lämnar alla nyligen skapade länkar tillgängliga för allmänheten.
Om organisationen också gör det möjligt för användare att anpassa länk med vanity URLs i stället för att använda slumpmässiga tecken, då de länkar till dessa filer kan gissa att använda ordbok attacker.
Detta är vad Adversis gjorde förra året. Företaget säger att det skannade Box.com för konton som tillhör stora företag och försökte gissa vanity Url för de filer eller mappar som anställda gemensamt i det förflutna.
Dess ansträngningar inte var förgäves. I en rapport som publiceras idag, Adversis sa att det finns en skatt av mycket känsliga uppgifter såsom:
Hundratals pass foton Social Trygghet och bankkontonummer Hög profil teknik prototyp och design filer Anställda listor Finansiella uppgifter, fakturor, internt problem trackers Kund listor och arkiv år av interna möten IT-data, VPN-konfigurationer, nätverksdiagram
TechCrunch, som var invigt några av de Adversis’ forskningsresultat, sade att några av de företag som utsätts interna filer som ingår gillar Apple, Discovery Channel, Herbalife, Schneider Electric, och även själva Lådan.
De flesta av dessa filen läckage har åtgärdats, och Rutan anmälda alla kunder i September förra året för farorna med att använda felaktiga behörigheter för Box.com dela länkar.
ZDNet nått ut till Rutan tidigare i dag och frågade om de funktioner och verktyg som företag har till sitt förfogande för att inspektera sin portfölj av offentligt tillgänglig länkar.
“Vi ger administratörer verktyg för att köra olika rapporter om öppna länkar över deras företag, liksom för att inaktivera öppna och anpassade Webbadresser för sitt företag,” en Låda talesperson sa till oss via e-post. “Admins kan också se till att Människor i Företaget” är standardinställningen för alla delade länkar för att begränsa möjligheten för en användare att ställa in [file] som offentliga oavsiktligt.”
Vi frågade också om Rutan såg en nedgång i antalet dela länkar som är inställd med allmänhetens tillgång sedan September förra året efter det att bolaget skickat ut sin säkerhet varning.
“Vi har inte aktivt skanna våra kunders installationer, men om kunder behöver stöd eller behov av att undersöka en specifik fråga som vi kommer att arbeta med dem för att undersöka deras länkar och identifiera eventuella problem,” Rutan talesman sade.
Box.com konto ägare uppmanas att se över sina kontoinställningar och använder de verktyg som Box beskrivs i ett blogginlägg idag för att se hur många allmänt tillgängliga länkar anställda har skapat i det förflutna.
Vissa av dessa allmänna Box Webbadresser som kan vara värd oviktigt-filer, men vissa kanske värd patenterad teknik som anställda kan ha av misstag placeras inuti en allmänt tillgänglig länk som använder en vanity URL.
Säkerhet forskare Robbie Wiggins berättade ZDNet i en Twitter-konversation idag att han förväntar sig skannar för allmänheten Rutan Url-adresser för att explodera under de kommande dagarna.
Han baserade sitt uttalande på det faktum att Adversis också öppen källkod-verktyg som de använde förra året. Detta verktyg är nu på GitHub och tillgänglig för alla.
Wiggins, som drev verktyg för ett par timmar tidigare i dag, säger han identifierat över 2 900 företag med Box-konton, men inte hittar några filer öppen för allmänheten ännu.
Dessa genomsökningar är skyldig att ta en hel del tid. Som standard i alla nya Rutan dela länkar genereras med hjälp av slumpmässiga tecken, och användare måste ändra URL med fåfänga fråga om syftet. Detta innebär att även om ett företag har ett stort antal allmänt tillgängliga Box värd för filer och mappar, inte alla av dem skulle ha vanity URLs-och vara lätt att hitta med Adversis scan tool.
Det kommer att bli som att leta efter en nål i en höstack, men om dessa oavsiktligt utsätts filer som innehåller känsliga dokument, så hackare är bundna till en stor vinst, och bugg jägare är i linje för en stor belöning från företaget som läckt ut filerna i första hand.
En talesman för Bugcrowd, en bug bounty plattform, kunde inte berätta ZDNet hur många bugg rapporter har lämnats in i det förflutna med utförliga uppgifter om data läckage som orsakas av Box-konton. Men detta betyder inte att bolaget inte är villiga att betala forskare som hittar någon.
“Bugcrowd har sett många integritets – och säkerhetsrelaterade incidenter i samband med fildelning inställningar under de senaste fyra åren,” Jason Haddix, VP Forskare Tillväxt, Bugcrowd, berättade ZDNet via e-post.
“Våra ansvariga programmet ägarna accepterar vanligtvis dessa incidenter och belöna dem genom bug bounty program. Säkerhet lag och använd sedan dessa händelser som en möjlighet att stärka sin fildelning tillstånd inställningar och politik.”
Mer dataintrång täckning:
Kinesiska företag lämnar Muslim-spårning ansiktsigenkänning databas utsatt onlineCitrix avslöjar brott mot säkerheten för inre networkPOS säger att företaget hackare planterat skadlig kod på kunden networksHackers försökte stjäla 13 miljoner euro från Malta ‘ s Bank of Valletta
Kinesisk hacka grupp bakdörrar produkter från tre Asiatiska gaming companiesSaudi nummerpresentation app lämnar uppgifter av 5+ miljoner användare i oprioriterade MongoDB serverMassive brott mot läckage 773 miljoner e-postadresser, 21 miljoner lösenord CNET
Hackare vända sig till stöld av data och försäljning på den Mörka Webben för högre utbetalningar TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter