当前位置:安全资讯 >> 全文

Box 企业共享链接被曝泄漏敏感信息

发布时间:2019-3-13 6:59 标签: Box,文件共享,数据泄漏
分享到 0

Adversis 公司的安全研究员警告称,如果未将Box 企业共享链接设置为仅限相关用户使用,则它可泄漏敏感信息。

所有使用 Box 企业云存储的企业都具有自己的子域名,而且该服务能使用户通过唯一的 URL 轻松共享存储在 Box 上的文档。然而,研究人员发现暴力攻击子域名、共享 URL 和文件夹名称非常容易。

这个问题并不新鲜,且已在过去也有提及,但现在仍然还是一个问题,至少如果访问权限配置不当的话。对 Box 共享链接的访问权限可被设置为任何人,可能是 Box 企业中的用户或位于子域名上的用户或者只是被邀请访问文件夹/文件的用户。

如果访问权限配置不当,则大量敏感信息可被暴露到互联网上,而这正是 Adversis 发现的结果。

研究人员表示,“通过标准的情报收集技术和使用了相对而言较大的词汇表识别出数千个 Box 客户子域名后,我们发现了数千名客户的数十万份文档和数太字节的信息遭暴露。”

虽然其中多数数据是公开的,但其中一些包含敏感信息如护照照片、社保号码和银行账户号码、高级别技术原型和设计文件、员工名单、金融数据、发票、内部问题追踪器、客户列表和多年的内部会议文档、IT 数据、VPN 配置和网络图表。

研究人员表示,受影响公司的数量之多使其无法一一通知。然而,由于某些组织机构的数千份敏感文档可遭任何人访问,因此 Adversis 仅通知了高度敏感信息遭泄漏的公司。

Box 也意识到了合格问题,并更新了指南以强调定制化共享链接可暴露敏感信息的事实,毕竟能猜测到 URL 的任何人均可访问内容。

为了减少连接被公开的风险,Box 建议将共享连接的访问权限仅限于公司内部用户,密切注意公开的定制化共享连接,并避免为不打算公开的内容设置定制化共享连接。

研究人员还在 GitHub https://github.com/adversis/PandorasBox)上公开代码,以便轻松找到组织机构的 Box 账户并开始扫描被暴露的信息。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/box-enterprise-shared-links-leak-sensitive-information
参与讨论,请先 登录 | 注册

用户评论