安全厂商发现云计算硬盘服务企业Box分享的链接共享功能,使企业客户机密文件可能外泄,传包括苹果在内等90多家企业客户受到影响。
和AWS S3文件夹一样,Box Enterprise的客户可以将文件与文件夹以链接方式分享给公司或特定用户。 Box的企业客户会被分配一个自有子域名,存储在Box子域名的文件可以独有的URL分享给他人。一般情形下,这个URL若只分享给同一子域名的用户就没有问题,但Box的定制共享链接功能(custom shared link)也允许企业用户将URL分享给外部人士,只要开放访问文件的权限给“People with the Link”即可。因此只要这些URL外流,就能导致公司数据曝光。
Adversis研究人员去年九月做了一次测试。他们发现共享URL的格式都一样是https://.app.box.com/v/,因此通过在公司名及文件/文件夹名称部分代换不同公司名及文件/数据名,找到可能的公司子域名再配合暴力破解密码,结果就得到大量Box上近百家企业数十万份文件及数百TB的数据。
根据Techcrunch的报导,受影响企业包括苹果、电视网Discovery及爱德曼(Edelman)公关公司等知名公司九十余家。
研究人员发现的数据中,包含相当隐私的信息,像是数百张护照照片、员工社会安全码及银行帐号;重要产品的原型和设计档;员工名册;财务数据、订单编号;客户名单及公司内部会议纪录、IT 数据、VPN组态及网络拓扑图等。
这些Box客户帐号有不少已有数千份敏感文件即将曝光。研究人员发现后,一开始还打算通知所有受影响的企业,但很快就发现数量实在太庞大而不可行。于是他们只能通知极机密数据已曝险的企业以及Box公司。研究人员表示,如果企业用户有使用Box,极可能也在这些曝险名单之列。
研究人员指出,严格来说这并不是bug,而是一项功能,只是没好好管理就会导致数据外泄。为免企业用户不慎受害,Box公告指出,除了Box额外提供的安全防护,企业管理员可以限定分享链接的访问权限,由任何取得链接的用户,改为仅同一公司邮件域名的Box帐号持有人,或甚至仅有获邀分享的人才能访问。
一如Box,AWS S3也多次传出因为用户或外承包商未设置密码等不当组态,导致美国选民数据、用户数据及军武布署资料等差点让外人看光。