知名网盘Box被曝数据泄露漏洞:共享文件网上能搜到

近日,知名在线数据管理网站BOX.COM被发现其文件共享机制存在安全风险,导致许多企业的部分机密数据和文件可以被谷歌、必应等搜索引擎直接检索。
发现该问题的威胁情报人员 Markus Neis 表示,BOX.COM 在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。
据雷锋网了解,BOX 的企业网盘在国外相当出名,在中国也拥有一定的用户,它除了提供常见的文件存储、同步功能之外,还提供了一项用于多人共享文件和数据的“云协作”功能,而问题正是出在这一功能上。
信息安全意识教育手段大比拼
根据 Neis 的解释,BOX 提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个URL链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。

[铁岭]银州区交通局进一步强化干部职工保密意识
云存储是确保数据安全的关键吗?

通过谷歌、必应等搜索引擎,Neis 检索到了上万个企业的“云协作”的文件共享链接,其中不乏一些标记有”机密”、“隐私”等字样的敏感商业信息。

他说,攻击者可以利用这个缺陷来访问存储在“云协作”中的敏感数据,这项“云协作”功能被普遍用于企业员工之间的协作办公,个人用户也经常使用。
默认情况下,这个链接生成之后,会授权访问者查看、下载、上传、编辑和重命名。
Neis 表示 :攻击者通过搜索引擎找到一个企业的“云协作”页面后,可以上传恶意软件到协作项目中,然后根据其中的电子邮件地址来邀请企业员工加入或者随意传播,以实施网络钓鱼。
根据描述设想的一种攻击方式

文件有漏洞,多个部门何以都不清楚

BOX.COM 方面认为,这些能被搜索引擎检索到的页面,账户持有人在第三方网站主动共享的,并非泄露,但他们也表示:
我们已经联系谷歌来删除这些公共索引,预计在短期之内完全删除,此外,我们已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在Google引擎上。
BOX.COM 说,他们将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。 同时他们强调,暴露在搜索引擎下的的共享链接的数量其实并不多。
外媒 Threatpost 透露其通过搜索引擎检索到了一些名称中带有“机密“、”私有“字样的文件,其中有一部分是戴尔科技公司的渠道合作伙伴的相关数据。但是至本文发布,雷锋网(公众号:雷锋网)编辑已经无法被检索到这些链接。
戴尔公司在一份声明中写道:
一些数量有限的信息在短时间内可以被“出乎意料之外的人”看见,但目前问题已经被解决。
据悉,探索传播公司( Discovery Communications )也曾被发现有大量相关的文件和视频项目文件,但是目前所有链接均也无法访问,该公司对此没有置评。
雷锋网宅客频道认为,虽然 BOX.COM 在国内大部分地区无法正常访问,但该事件依然也可供国内众多云盘厂商和用户参考。
来源于366新闻网
微信扫一扫关注该公众号

云计算的安全问题仍然是各类组织的顾虑,云计算很有弹性,还能省下不少开支,但目前缺少足够的安全机制,如性能和可靠性的监控等等影响了向云计算的快速迁移。
软件评测显示三大漏洞威胁政府网站安全,SQL注入、信息泄露、弱密码。要防范这三大漏洞,不能信赖纯技术手段,需要设置相关的安全标准和流程,得从人员的安全意识教育抓起。

猜您喜欢

熙菱信息:首次公开发行股票并在创业板上市之上市公告书
后PC时代的企业安全挑战
移动支付中间人攻击防范
小学女生失联十余天:迷恋网络小说等着成仙
G-SHOCK FLAYMANY
信息安全第一课——丢弃毁坏的U盘