XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

公司通过Box帐户泄露敏感文件

发布时间:2019-03-13 16:49:55 来源:

使用Box.com作为基于云的文件托管和共享系统的公司可能会意外地暴露内部文件,敏感文档或专有技术。

调查此问题的网络安全公司Adversis表示,这种风险是由于人为错误造成的,并与Box和受影响公司合作纠正。

问题在于Box.com帐户所有者没有为文件/文件夹共享链接设置“公司中的人员”的默认访问级别,所有新创建的链接都可供公众访问。

如果组织还允许用户使用虚URL而不是使用随机字符来自定义链接,则可以使用字典攻击来猜测这些文件的链接。

这就是Adversis去年所做的。该公司表示,它扫描了Box.com,查找属于大公司的账户,并试图猜测员工过去共享的文件或文件夹的虚URL。

它的努力并非徒劳。在今天发布的一份报告中,Adversis表示它发现了大量高度敏感的数据,例如:

数百张护照照片

社会保障和银行帐号

高调的技术原型和设计文件

员工名单

财务数据,发票,内部问题跟踪器

客户列出多年内部会议的档案和档案

IT数据,VPN配置,网络图

TechCrunch对Adversis的一些研究结果有所了解,称一些暴露内部文件的公司包括苹果,探索频道,康宝莱,施耐德电气甚至Box本身。

大多数这些文件泄漏已得到修复,Box在去年9月通知所有客户使用Box.com共享链接的错误访问权限的危险。

ZDNet今天早些时候联系了Box,询问了公司可以使用哪些工具和功能来检查他们可公开访问的链接。

Box发言人通过电子邮件告诉我们,“我们提供管理员工具,用于在企业内部开放链接上运行各种报告,以及禁用企业的开放和自定义URL。” “管理员还可以确保”公司中的人员“是所有共享链接的默认设置,以限制用户无意中将[文件]设置为公共的可能性。”

我们还询问,在公司发出安全警报后,自去年9月以来,Box是否看到公共访问设置的共享链接数量有所下降。

“我们不会主动扫描客户的部署,但如果客户需要帮助或需要检查特定问题,我们将与他们一起检查他们的链接并发现任何潜在问题,”Box发言人说。

建议Box.com帐户所有者查看他们的帐户设置,并使用Box 今天在博客文章中描述的工具来查看员工过去创建了多少可公开访问的链接。

其中一些公共Box URL可能托管不重要的文件,但有些可能会托管员工可能意外放置在使用虚URL的公共可访问链接中的专有技术。

安全研究员Robbie Wiggins今天在Twitter对话中告诉ZDNet,他预计未来几天公共Box URL的扫描将会爆炸。

他的陈述基于Adversis开源他们去年使用的工具这一事实。此工具现在在GitHub上,可供所有人使用。

今天早些时候运行该工具的Wiggins表示,他已经确定了超过2,900家拥有Box账户的公司,但尚未发现任何文件尚未向公众开放。

这些扫描必然会耗费大量时间。默认情况下,所有新的Box共享链接都是使用随机字符生成的,用户需要故意修改带有虚荣术语的URL。这意味着,即使公司拥有大量可公开访问的Box托管文件和文件夹,但并非所有文件和文件夹都具有虚荣URL,并且使用Adversis扫描工具很容易找到。

这就像在大海捞针一样,但如果这些无意中暴露的文件包含高度敏感的文件,那么黑客就必然会有很大的发薪日,并且漏洞猎人会从泄漏文件的公司获得巨额奖励。第一名。

Bugcrowd的一个发言人,一个bug赏金平台,无法告诉ZDNet在过去详细说明由Box帐户导致的数据泄漏时提交了多少错误报告。然而,这并不意味着公司不愿意支付找到任何人的研究人员。

“Bugcrowd在过去四年中发现了许多与文件共享错误配置相关的隐私和安全相关事件,”Bugcrowd研究员增长副总裁Jason Haddix 通过电子邮件告诉ZDNet。

“我们负责的项目业主通常接受这些事件,并通过错误赏金计划奖励他们。然后,安全团队将这些事件作为加强文件共享权限设置和政策的机会。”

热点推荐
随机文章