`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Публичные ссылки открывают доступ к внутренним файлам корпоративных клиентов Box

13 марта 2019 г., 15:22
0 
 

Публичные ссылки открывают доступ к внутренним файлам корпоративных клиентов Box

Экспертам из фирмы кибербезопасности Adversis удалось получить доступ к терабайтам конфиденциальных данных девяти десятков компаний, хранившимся на корпоративных счётах облачной платформы Box. В качестве отправной точки им послужили публичные ссылки на документы в Box Enterprise, сгенерированные самими сотрудниками этих компаний. Используя их, удалось методом грубой силы выявить другие ссылки, также публично доступные.

«После выявления тысяч субдоменов клиентов Box стандартными методами сбора информации с использованием сравнительно большого списка слов, мы обнаружили сотни тысяч документов и терабайты данных в открытом доступе у сотен клиентов», — сообщили исследователи.

Среди обнаруженной информации были снимки паспортов, номера банковских счётов и карточек социального обеспечения, конструкторские файлы высокотехнологичных проектов, списки сотрудников, финансовые данные, счета-фактуры, списки клиентов и многолетние архивы служебных совещаний, а также данные ИТ, конфигурации VPN и диаграммы сетей.

«С одной стороны, этот случай хуже, чем проблема с корзинами инстансов AWS S3, потому что найти учетную запись компании в Box довольно просто, в отличие от имен корзин S3, которые могут быть длинными и трудно угадываемыми, — пояснили исследователи. — С другой стороны, служащие гораздо менее склонны хранить в Box полные базы данных».

Увеличивая риск обнаружения, публичные ссылки для доступа в Box в некоторых случаях могут индексироваться поисковыми сервисами.

Согласно TechCrunch, в число компаний, затронутых этой проблемой, вошли Apple, Discovery, Herbalife Nutrition, Schneider Electric и даже сама Box. Провайдер облачного хранения был оповещён о данной уязвимости 24 сентября и, спустя четыре дня объявил о модернизации защиты файлов. Детали этого инцидента Adversis опубликовала только сейчас, чтобы дать корпоративным клиентам Box время обезопасить свои документы и данные.

Тем не менее, риск утечки информации с эккаунтов Box Enterprise всё ещё остаётся. Компания рекомендует администраторам в конфигурации по умолчанию ограничивать круг доступа к ссылкам только сотрудниками предприятия.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT