圖片來源: 

Box

安全廠商發現雲端硬碟服務業者Box分享的連結共享功能,使企業客戶機密檔案可能外洩,傳包括蘋果在內等90多家企業客戶受到影響。

和AWS S3資料夾一樣,Box Enterprise的客戶可以將檔案與資料夾以連結方式分享給公司或特定用戶。Box的企業客戶會被分配一個自有子網域,儲存在Box子網域的文件可以獨有的URL分享給他人。一般情形下,這個URL若只分享給同一子網域的用戶就沒有問題,但Box的客製共享連結功能(custom shared link)也允許企業用戶將URL分享給外部人士,只要開放存取檔案的權限給「People with the Link」即可。因此只要這些URL外流,就能導致公司資料曝光。

Adversis研究人員去年九月做了一次測試。他們發現共享URL的格式都一樣是https://<companyname>.app.box.com/v/<file/folder>,因此透過在公司名及檔案/資料夾名稱部分代換不同公司名及檔案/資料名,找到可能的公司子網域再配合暴力破解密碼,結果就得到大量Box上近百家企業數十萬份文件及數百TB的資料。

根據Techcrunch的報導,受影響企業包括蘋果、電視網Discovery及愛德曼(Edelman)公關公司等知名公司九十餘家。

研究人員發現的資料中,包含相當隱私的資訊,像是數百張護照相片、員工社會安全碼及銀行帳號;重要產品的原型和設計檔;員工名冊;財務資料、訂單編號;客戶名單及公司內部會議紀錄、IT 資料、VPN組態及網路拓墣圖等。

這些Box客戶帳號有不少已有數千份敏感文件即將曝光。研究人員發現後,一開始還打算通知所有受影響的企業,但很快就發現數量實在太龐大而不可行。於是他們只能通知極機密資料已曝險的企業以及Box公司。研究人員表示,如果企業用戶有使用Box,極可能也在這些曝險名單之列。

研究人員指出,嚴格來說這並不是臭蟲,而是一項功能,只是沒好好管理就會導致資料外洩。為免企業用戶不慎受害,Box公告指出,除了Box額外提供的安全防護,企業管理員可以限定分享連結的存取權限,由任何取得連結的用戶,改為僅同一公司郵件網域的Box帳號持有人,或甚至僅有獲邀分享的人才能存取。

一如Box,AWS S3也多次傳出因為用戶或外包商未設定密碼等不當組態,導致美國選民資料用戶資料軍武部署資料等差點讓外人看光。


Advertisement

更多 iThome相關內容