Следующая новость
Предыдущая новость

Компании допускают утечки данных через свои аккаунты Box

12.03.2019 13:53
Компании допускают утечки данных через свои аккаунты Box

Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании Adversis в очередной раз доказывают, что человеческий фактор – одна из наиболее острых проблем в сфере кибербезопасности. Исследователи обнаружили, что многие компании, использующие платформу для облачного хостинга и совместного использования файлов Box.com, часто оставляют в общем доступе внутренние файлы, важные документы и информацию о проприетарных технологиях. Проблема затрагивает таких гигантов, как Apple, Discovery Channel, Herbalife, Schneider Electric и даже саму Box.

Компании допускают утечки данных через свои аккаунты Box

Исследователи объясняют, что источник этой проблемы – тот факт, что по умолчанию уровень доступа к аккаунтам Box не ограничен сотрудниками конкретной компании, из-за чего ссылки на файлы и директории могут быть доступны широкой публике, включая случайных людей. К тому же Box позволяет организациям кастомизировать свои URL, вместо использования случайных символов, то есть в теории ссылки можно просто «подобрать», применив словарную атаку.

В рамках своего исследования, специалисты Adversis, по сути, сделали именно это: просканировали аккаунты Box, принадлежащие крупным компаниям, пытаясь «угадать» URL, на основе ссылок, которыми сотрудники открыто делились ранее. Результаты превзошли все ожидания, исследователи обнаружили:

  • тысячи фотографий паспортов;
  • номера социального страхования и банковских счетов;
  • проектные файлы важных технологических прототипов;
  • списки сотрудников;
  • финансовую документацию и инвойсы;
  • списки клиентов и многолетние архивы внутренних собраний;
  • различные ИТ-данные, включая конфигурацию VPN и схемы сетей.

Сообщается, что в настоящее время большинство этих утечек уже были ликвидированы, так как специалисты Adversis уведомили компании о своих «находках» еще осенью прошлого года. Кстати, исходный код инструмента, которым пользовались аналитики, уже открыт и опубликован на GitHub.

Разработчики Box уже поспешили заверить СМИ, что в отчете Adversis речь идет не о каких-то уязвимостях. Также в компании подчеркнули, что предоставляют своим клиентам все необходимые инструменты для поиска открытых ссылок, их отключения, а также отключения кастомизации URL. Так, администраторы имеют возможность убедиться, что доступ «People in the Company» задан для всех ссылок, которыми делятся сотрудники. В блоге Box также был опубликован материал, посвященный тому, как проверить, сколько публично доступных ссылок создали сотрудники, как правильно настроить доступ и кастомизировать URL.

Источник

Последние новости