近日,知名線上資料管理網站 BOX.COM 被發現其檔共用機制存在安全風險,導致許多企業的部分機密資料和檔可以被穀歌、必應等搜尋引擎直接檢索。
發現該問題的威脅情報人員 Markus Neis 表示,
BOX.COM 在處理雲存儲帳戶上存在缺陷,導致一個簡單的搜尋引擎查詢就可以讓企業或個人的機密檔被任何人訪問。
攻擊者利用該問題可以訪問企業存儲在“雲協作”上的資料,其中包括戴爾科技集團在內的多家大型公司的資料。
據雷鋒網瞭解,BOX 的企業網盤在國外相當出名,在中國也擁有一定的用戶,它除了提供常見的檔存儲、同步功能之外,還提供了一項用於多人共用檔和資料的“雲協作”功能,而問題正是出在這一功能上。
根據 Neis 的解釋,BOX 提供的“雲協作”功能允許用戶邀請他人來共用帳戶下的檔目錄和資料,在共用檔時,會自動生成一個URL連結,任何人都可以通過這個連結進入這個共用目錄,
而關鍵問題就在於,這些連結所指向的頁面能被搜尋引擎收錄並檢索,而這可能會被網路攻擊者利用。
通過穀歌、必應等搜尋引擎,Neis 檢索到了上萬個企業的“雲協作”的檔共用連結,其中不乏一些標記有”機密”、“隱私”等字樣的敏感商業資訊。
他說,攻擊者可以利用這個缺陷來訪問存儲在“雲協作"中的敏感性資料,這項“雲協作”功能被普遍用於企業員工之間的協作辦公,個人用戶也經常使用。
預設情況下,這個連結生成之後,會授權訪問者查看、下載、上傳、編輯和重命名。
Neis 表示 :
攻擊者通過搜尋引擎找到一個企業的“雲協作”頁面後,可以上傳惡意軟體到協作專案中,然後根據其中的電子郵寄地址來邀請企業員工加入或者隨意傳播,以實施網路釣魚
。
【宅客頻道編輯根據描述設想的一種攻擊方式】
BOX.COM 回應
BOX.COM 方面認為,這些能被搜尋引擎檢索到的頁面,帳戶持有人在協力廠商網站主動共用的,並非洩露,但他們也表示:
我們已經聯繫穀歌來刪除這些公共索引,預計在短期之內完全刪除,此外,我們已經重組了所有的分享連結來確保之後的公共邀請連結不會被展示在Google引擎上。
BOX.COM 說,他們將繼續評估共用連結的許可權模型,以確保該功能在保證安全的前提下可以盡其所用。 同時他們強調,暴露在搜尋引擎下的的共用連結的數量其實並不多。
外媒 Threatpost 透露其通過搜尋引擎檢索到了一些名稱中帶有“機密“、”私有“字樣的檔,其中有一部分是戴爾科技公司的管道合作夥伴的相關資料。但是至本文發佈,雷鋒網編輯已經無法被檢索到這些連結。
戴爾公司在一份聲明中寫道:
一些數量有限的資訊在短時間內可以被“出乎意料之外的人”看見,但目前問題已經被解決。
據悉,探索傳播公司( Discovery Communications )也曾被發現有大量相關的檔和視頻專案檔案,但是目前所有連結均也無法訪問,該公司對此沒有置評。
雷鋒網宅客頻道認為,雖然 BOX.COM 在國內大部分地區無法正常訪問,但該事件依然也可供國內眾多雲盤廠商和用戶參考。