近日,知名在线数据管理网站 BOX.COM 被发现其文件共享机制存在安全风险,导致许多企业的部分机密数据和文件可以被谷歌、必应等搜索引擎直接检索。
发现该问题的威胁情报人员 Markus Neis 表示,
BOX.COM 在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。
据雷锋网了解,BOX 的企业网盘在国外相当出名,在中国也拥有一定的用户,它除了提供常见的文件存储、同步功能之外,还提供了一项用于多人共享文件和数据的“云协作”功能,而问题正是出在这一功能上。
根据 Neis 的解释,BOX 提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个 URL 链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。
通过谷歌、必应等搜索引擎,Neis 检索到了上万个企业的“云协作”的文件共享链接,其中不乏一些标记有”机密”、“隐私”等字样的敏感商业信息。
他说,攻击者可以利用这个缺陷来访问存储在“云协作"中的敏感数据,这项“云协作”功能被普遍用于企业员工之间的协作办公,个人用户也经常使用。
默认情况下,这个链接生成之后,会授权访问者查看、下载、上传、编辑和重命名。
Neis 表示 :
攻击者通过搜索引擎找到一个企业的“云协作”页面后,可以上传恶意软件到协作项目中,然后根据其中的电子邮件地址来邀请企业员工加入或者随意传播,以实施网络钓鱼。
【宅客频道编辑根据描述设想的一种攻击方式】
BOX.COM 回应
BOX.COM 方面认为,这些能被搜索引擎检索到的页面,账户持有人在第三方网站主动共享的,并非泄露,但他们也表示:
我们已经联系谷歌来删除这些公共索引,预计在短期之内完全删除,此外,我们已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在 Google 引擎上。
BOX.COM 说,他们将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。 同时他们强调,暴露在搜索引擎下的的共享链接的数量其实并不多。
外媒 Threatpost 透露其通过搜索引擎检索到了一些名称中带有“机密“、”私有“字样的文件,其中有一部分是戴尔科技公司的渠道合作伙伴的相关数据。但是至本文发布,雷锋网编辑已经无法被检索到这些链接。
戴尔公司在一份声明中写道:
一些数量有限的信息在短时间内可以被“出乎意料之外的人”看见,但目前问题已经被解决。
据悉,探索传播公司( Discovery Communications )也曾被发现有大量相关的文件和视频项目文件,但是目前所有链接均也无法访问,该公司对此没有置评。
雷锋网宅客频道认为,虽然 BOX.COM 在国内大部分地区无法正常访问,但该事件依然也可供国内众多云盘厂商和用户参考。