| 11 марта 2019 г. — 7:19 PT
Apple — одна из ряда известных компаний, чьи корпоративные данные были раскрыты через их Box-аккаунты, сервис корпоративного облачного хранилища.
В общей сложности, по данным компании по кибербезопасности Adversis, были раскрыты данные более чем 90 компаний…
TechCrunch сообщает, что проблема возникла из-за слабости функции общедоступной ссылки, предлагаемой Box.
Исследователи безопасности обнаружили, что десятки компаний непреднамеренно раскрывают конфиденциальные корпоративные и клиентские данные, поскольку сотрудники делятся общедоступными ссылками на файлы в своих корпоративных облачных хранилищах Box, которые легко обнаружить […]
Хотя данные, хранящиеся в корпоративных аккаунтах Box, по умолчанию являются частными, пользователи могут делиться файлами и папками с кем угодно, делая данные общедоступными по одной ссылке. Но Adversis заявила, что эти секретные ссылки могут быть обнаружены другими. Используя скрипт для сканирования и перечисления аккаунтов Box со списками названий компаний и поисками по шаблону, Adversis обнаружила более 90 компаний с общедоступными папками.
Adversis написала в своем блоге, что проблема конфиденциальности имела массовый характер.
Мы обнаружили сотни тысяч документов и терабайты данных, раскрытых сотнями клиентов.
Пример данных, которые мы нашли:
- Сотни фотографий паспортов
- Номера социального страхования и банковских счетов
- Прототипы и файлы дизайна высокотехнологичных продуктов
- Списки сотрудников
- Финансовые данные, счета-фактуры, внутренние системы отслеживания проблем
- Списки клиентов и архивы многолетних внутренних встреч
- Данные ИТ, конфигурации VPN, сетевые диаграммы
По сути, все, что сделала Adversis, — это взяла известные доменные имена и субдомены компаний с аккаунтами Box (http://company.app.box.com/), а затем использовала словарную атаку для идентификации действительных ссылок.
Компания по безопасности впервые сообщила об этой проблеме Box в сентябре и дождалась сегодняшнего дня, чтобы сделать ее публичной, чтобы дать компаниям время удалить конфиденциальные данные.
TechCrunch сообщил, что, хотя многие компании раскрыли конфиденциальные данные, с Apple это, похоже, не произошло — компания с тех пор предприняла шаги для защиты своей информации.
У Apple было несколько раскрытых папок, содержащих, по-видимому, неконфиденциальные внутренние данные, такие как журналы и региональные прайс-листы […]
Amadeus, Apple, Box, Discovery, Herbalife, Edelman и Pointcare изменили конфигурацию своих корпоративных аккаунтов, чтобы предотвратить доступ к их утекающим файлам, после того как TechCrunch связался с ними.
Box заявила, что принимает меры.
Представитель Box Денис Рон заявил в своем заявлении: «Мы серьезно относимся к безопасности наших клиентов и предоставляем инструменты, которые позволяют нашим клиентам выбирать соответствующий уровень безопасности в зависимости от конфиденциальности контента, которым они делятся. В некоторых случаях пользователи могут захотеть делиться файлами или папками широко и установить для пользовательской или общей ссылки разрешения «публичный» или «открытый». Мы предпринимаем шаги, чтобы сделать эти настройки более понятными, лучше помочь пользователям понять, как их файлы или папки могут быть переданы, и уменьшить вероятность непреднамеренного общего доступа к контенту, включая улучшение политик администратора и введение дополнительных элементов управления для общих ссылок».
Гигант облачных технологий заявил, что планирует сократить непреднамеренное обнаружение общедоступных файлов и папок.
Box рекомендует клиентам использовать средства контроля доступа, такие как ограничение доступности для лиц с корпоративными адресами электронной почты, защита паролем и политики истечения срока действия.