云盘服务Box帐号配置不当,逾90家公司敏感数据泄露,苹果躺枪
据悉,云文件共享系统Box意外泄漏了逾90家公司数十万份文档和万亿字节的数据。网络安全公司Adversis揭露了潜在的安全隐患,并表示从护照照片到社会安全和银行账号、原型和设计文件、员工名单、财务和信息技术数据等一切信息都被泄漏。
虽然上传到Box企业帐户的数据和文档从技术上来说都是私有的,但用户可以通过链接共享访问权限,其中一些链接可以让拥有该链接的人公开查看。Adversis发现一些公司已经泄漏了这些秘密链接,有些甚至可以被搜索引擎所索引。Adversis最初计划单独接触这些公司,但很快意识到问题的规模超出了可以掌控的范围。
Box发布了如下声明:“我们重视客户的安全,并提供控制措施,允许客户根据他们共享内容的敏感性选择合适的安全级别。在某些情况下,用户可能希望广泛共享文件或文件夹,并将自定义或共享链接的权限设置为公开。我们正在采取措施使这些设置更加清晰,更好地帮助用户理解如何共享文件或文件夹,并降低意外共享内容的可能性,包括改进管理策略和引入对共享链接的附加控制。”
值得注意的是,一些理论上可以被任何人查看的Box链接并不是该公司系统的失误。该公司指出,它有许多不同的方式来共享内容,比如完全私有、仅限特定用户访问,或者公开访问。用户还可以设置自定义链接,这也是Adversis最初发现问题的地方。
Box特别指出,如果一个公开Box链接被共享到其他人可以找到的地方,比如一个可能被谷歌索引的网站,那么该内容将是可访问的。最佳安全实践要求不公开共享这些链接。
为了解决泄漏事件所引起的担忧,Box正在采取一些措施。首先,Box管理控制台现在被设置为默认禁用公开自定义共享链接;除非管理员改变这一点,否则用户将无法以这种方式共享链接。此外,共享链接的默认隐私设置被设置为“公司职员”,并且该默认设置只能由管理员更改。最后,Box还与使用其工具的公司合作,以确保他们知道如何审计组织中的公开和自定义链接,并在必要时使它们更加安全。
据外媒报道,苹果、探索频道、航班预订系统Amadeus、营养公司康宝莱和Opportunity International都是遭遇此次意外泄漏事件影响的公司。