Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

13 Марта 09:46
Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался специальный скрипт (линк внизу статьи), перебирающий аккаунты на Box, с применением словаря английских слов и набором шаблонов.

URL для расшаренных файлов на Box имеет вид:

https://.app.box.com/v/<file/folder>

Сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

Почти таким же способом (перебором) обнаруживают открытые облачные хранилища Amazon, про это я писал отдельную заметку. Только стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним, должно было гарантироваться невозможностью посторонним узнать URL (классика жанра — security through obscurity).

ЧИТАТЬ МАТЕРИАЛ

Комментарии:

НОВЫЕ СТАТЬИ

Прямая трансляция Security Forum в Киеве, 26.03, 09.30
По материалам Softprom by ERC Вчера 09:18
Micro Focus веде підприємства в Епоху Цифрової Трансформації
За матеріалами Elcore Distribution 22 Марта 09:04
Открой меня
Обратите внимание: ×