微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

网盘鼻祖Box敏感数据被“分享”,90多家公司文件夹可公开访问

2019-03-13 18:08 小雪

据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,网盘鼻祖Box因员工公开分享云盘服务,导致敏感数据被泄露。虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。

Box,成立于2005年,前身为Box.net,总部位于加利福尼亚州雷德伍德市,是一家面向企业的云内容管理和文件共享服务。官方客户端和应用程序可用于Windows,macOS和多个移动平台。BOX 的企业网盘在国外相当出名,在中国也拥有一定的用户。

该公司表示,虽然已经向用户发送了建议,帮助其尽可能减少风险。但很多用户可能并不知道敏感数据被分享出去这件事情。

网络安全公司Adversis表示,Box应该重新配置默认共享链接,限制为“公司内部的人员”,从而降低意外暴露敏感信息的概率,避免公共文件夹可以被搜索引擎索引到。

然而这并不是Box第一次发生数据泄露了,2017年Box就被发现其文件共享机制存在安全风险。

发现该问题的威胁情报人员 Markus Neis表示:BOX.COM 在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。

BOX 提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个URL链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。

尽管当时Box表示已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在Google引擎上,并且将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。


然而,时隔两年,由【分享链接】爆发的横祸还是再次飞来了。



建议

对于企业来说,文件共享具有一个很大的缺点。一旦数据转移到云环境中,企业就失去了对数据的控制权。为了重新获得控制权,企业需要管理这些数据的安全性,而这就意味着企业有了更多的工作。

数据安全供应商Verdasys产品副总裁Bill Munroe曾表示,“文件共享技术是一把双刃剑,一方面,他让我们能够更好地共享更多数据,另一方面我们共享的数据越多,我们失去数据的可能性就越大。”

虽然此次事件涉及到的是企业,但分享文件这一行为关乎所有人,因此提出以下建议:

  • 企业需要部署安装数据防泄密系统,把获取的海量用户数据用加密软件来进行加密保护,这样才能从内至外的防止真实数据被泄露。

  • 个人用户可以安装隐私保护软件,把隐私视频,图片等文件进行加密处理再放置云端,这样即使不小心公开分享或者被泄露也是密文显示,做到真正的安全和方便。在使用链接分享文件时,尽量选择加密分享可将文件有效时间设置为一天;对于已公开分享的文件,可在对方下载后取消分享;重要文件、私密文件,可存于移动硬盘中。


参考来源:

  • Aliyun

  • 新浪科技

  • 简书

- End -


热门文章阅读


1、Facebook再爆数据丑闻,这次是内鬼

2、使用IDA pro逆向ARM M系核心的Bin固件

3、又是弱密码的锅,近10TB的商业文件被窃,或与FBI有关

4、由浅入深,汇编语言详解与二进制漏洞初阶



公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击阅读原文,了解更多~

 
看雪学院 更多文章 赛况直播 | 2019 KCTF 开战,这里只用实力说话 使用IDA pro逆向ARM M系核心的Bin固件 今天中午12点,相约看雪CTF 晋级赛Q1,battle起来! 看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全 ScyllaHide的Hook原理
猜您喜欢 头条丨从 AlphaGo 说起, DeepMind 官方回顾 2016 年大事记 国庆到处人挤人 不如在家看书 Docker相关书籍推荐 学习 Flexbox 的 18 个优质资源 第十讲 switch() Djnago框架重?哥用15行代码写django web程序!