安全研究人员已经发现了一个潜在的数据泄漏公司机密文件由于贫穷的云存储服务的配置框。

网络安全公司Adversis宣布与盒子账户的小组已经发现了一个问题让许多用户,包括苹果和其他科技公司,数据万博体育登录首页泄露。

潜在的数据违反箱的服务

盒子是一个基于云计算的内容管理和文件共享服务旨在迎合企业。它为用户提供了通过AES 256位加密数据保护。

然而,当Adversis人员检查服务,他们发现他们可以访问成千上万的文件和其他数据,因为盒子的安全缺陷的结构。

问题在于如何框允许用户共享文件使用链接自定义的域。如果发现一个特定的链接,用户有足够的知识在网络上可以寻找其他秘密链接子域。这些可以给他们访问其他文件云存储服务。

在他们的评论,Adversis人员看到超过90个组织公开访问他们的数据文件和文件夹。苹果,Amadeus、发现Edelman康宝莱,Pointcare只是一些公司发现他们数据暴露在云服务。

研究小组发现大量的敏感信息,如护照照片、社保和银行账号,员工列表、客户名单、财务数据、数据,甚至文件在一个高调的技术原型。万博体育登录首页

Adversis指出,这个问题不是一个缺陷或漏洞在盒子的系统中,它也已经过去了。Twitter用户的Nenad Zaric发布2017年,尽管网络安全公司表示警告似乎并没有得到足够的重视。

“如果你的公司是使用#箱和定制领域,尝试蛮力/ v /路径(http://company.app.box.com/v/)。可能会有很多机密数据暴露出来。Zaric # BugBounty #安全。写了。

如何修复盒子账户吗

Adversis说箱提供了几个步骤如何保障用户账户被黑客从URL猜测。

管理员建议配置默认访问的共享链接到“人们在贵公司”来防止用户不小心创建公共或打开链接。他们还应该定期运行共享链接报告来寻找和管理公共定义共享链接。

该公司还建议用户应避免创建公共定义共享链接私人内容,以防止潜在的数据泄露。

其他云存储数据泄露

数据泄露涉及云服务仍然是一个特别关心公司,鉴于日益依赖网络文件存储。超过990亿的记录暴露因为数据泄露仅在2017年,据Imperva Incapsula。

而企业使用不同的策略来确保敏感数据从攻击,漏洞仍然发生甚至是世界上最大的公司。

2018年,威瑞森被暴露于潜在的数据违反由于配置错误的云端文件存储库。错误离开了名称,地址、账户信息,账户的个人识别号码(pin)数以百万计的美国客户开放的非法访问。

2017年,研究人员发现至少有四个云存储在埃森哲的系统漏洞。等重要文件秘密API数据,验证证书,证书,解密密钥,客户信息是左无担保和公开下载。

这个问题与埃森哲的云平台,使用多重云管理平台主要由公司的客户。