0 |
Экспертам из фирмы кибербезопасности Adversis удалось получить доступ к терабайтам конфиденциальных данных девяти десятков компаний, хранившимся на корпоративных счётах облачной платформы Box. В качестве отправной точки им послужили публичные ссылки на документы в Box Enterprise, сгенерированные самими сотрудниками этих компаний. Используя их, удалось методом грубой силы выявить другие ссылки, также публично доступные.
«После выявления тысяч субдоменов клиентов Box стандартными методами сбора информации с использованием сравнительно большого списка слов, мы обнаружили сотни тысяч документов и терабайты данных в открытом доступе у сотен клиентов», — сообщили исследователи.
Среди обнаруженной информации были снимки паспортов, номера банковских счётов и карточек социального обеспечения, конструкторские файлы высокотехнологичных проектов, списки сотрудников, финансовые данные, счета-фактуры, списки клиентов и многолетние архивы служебных совещаний, а также данные ИТ, конфигурации VPN и диаграммы сетей.
«С одной стороны, этот случай хуже, чем проблема с корзинами инстансов AWS S3, потому что найти учетную запись компании в Box довольно просто, в отличие от имен корзин S3, которые могут быть длинными и трудно угадываемыми, — пояснили исследователи. — С другой стороны, служащие гораздо менее склонны хранить в Box полные базы данных».
Увеличивая риск обнаружения, публичные ссылки для доступа в Box в некоторых случаях могут индексироваться поисковыми сервисами.
Согласно TechCrunch, в число компаний, затронутых этой проблемой, вошли Apple, Discovery, Herbalife Nutrition, Schneider Electric и даже сама Box. Провайдер облачного хранения был оповещён о данной уязвимости 24 сентября и, спустя четыре дня объявил о модернизации защиты файлов. Детали этого инцидента Adversis опубликовала только сейчас, чтобы дать корпоративным клиентам Box время обезопасить свои документы и данные.
Тем не менее, риск утечки информации с эккаунтов Box Enterprise всё ещё остаётся. Компания рекомендует администраторам в конфигурации по умолчанию ограничивать круг доступа к ссылкам только сотрудниками предприятия.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |