知名网盘被曝数据泄露漏洞:共享文件网上能搜到

来源:www.xjctc.net   时间: 2019-10-11

最近,着名的在线数据管理网站BOX.COM被发现在其文件共享机制中存在安全风险,导致许多企业的一些机密数据和文件可以被谷歌和必应等搜索引擎直接检索。

发现此问题的威胁情报代理Markus Neis表示,BOX.COM在处理云存储帐户方面存在缺陷,导致一个简单的搜索引擎查询,允许任何人访问公司或个人机密文件。攻击者可以使用此问题访问企业在“云协作”上存储的数据,包括来自包括戴尔技术集团在内的多家大公司的数据。

据雷锋网报道,BOX的企业网盘在国外颇有名气。它在中国也有一定的用户。除了提供通用文件存储和同步功能外,它还为多人提供了一个共享文件和数据的文件。 “云协作”功能,问题在于此功能。

根据Neis的解释,BOX提供的“云协作”功能允许用户邀请其他人共享帐户下的文件目录和数据。共享文件时,会自动生成URL链接,任何人都可以通过此链接进入共享目录。关键问题是这些链接指向的页面可以被搜索引擎索引和检索,搜索引擎可能被网络攻击者利用。

通过Google,Bing和其他搜索引擎,Neis已经检索了数万家公司的“云协作”文件共享链接,其中包括一些标有“机密”和“隐私”的敏感商业信息。

他说,攻击者可以利用这个漏洞访问存储在“云协作”中的敏感数据。这种“云协作”功能通常用于员工之间的协作,并且通常由个人用户使用。

默认情况下,生成此链接后,访问者有权查看,下载,上载,编辑和重命名。

Neis说:在攻击者通过搜索引擎找到公司的“云协作”页面后,它可以将恶意软件上传到协作项目,然后邀请员工根据电子邮件地址加入或任意传播以实施网络钓鱼。

根据描述设想的攻击方法

BOX.COM认为,这些可以被搜索引擎检索的页面,账户持有者积极分享在第三方网站上,并没有泄露,但他们也说:

我们已与Google联系以删除这些公开索引,并希望在短期内完全删除。此外,我们重新组织了所有共享链接,以确保后续的公开邀请链接不会显示在Google引擎上。

BOX.COM表示,他们将继续评估共享链接的权限模型,以确保在确保安全性的同时最大限度地利用该功能。与此同时,他们强调,暴露给搜索引擎的共享链接数量实际上并不多。

外国媒体Threatpost透露,它以搜索引擎的名义检索了一些文字“机密”和“私密”,其中一些文件与戴尔的渠道合作伙伴有关。但是,截至本文,雷锋网(公众号:雷锋)编辑一直无法检索这些链接。

戴尔在声明中写道:

“意想不到的人”可以在短时间内看到有限数量的信息,但问题现在已得到解决。

据悉,Discovery Communications还发现有大量相关文件和视频项目文件,但所有链接目前都无法访问,该公司没有发表评论。

雷锋网认为,虽然BOX.COM在中国大部分地区无法正常访问,但仍有许多国内云盘制造商和用户可以使用。

  • 友情链接:
  • 版权所有© 新疆计算机培训中心 | 新ICP备10201303号-1 | www.xjctc.net . All Rights Reserved | 网站地图