Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.
Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.
Для поиска использовался специальный скрипт (линк внизу статьи), перебирающий аккаунты на Box, с применением словаря английских слов и набором шаблонов.
URL для расшаренных файлов на Box имеет вид:
https://.app.box.com/v/<file/folder>
Сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.
Почти таким же способом (перебором) обнаруживают открытые облачные хранилища Amazon, про это я писал отдельную заметку. Только стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним, должно было гарантироваться невозможностью посторонним узнать URL (классика жанра — security through obscurity).
Некоторые компании, в чьих Box-аккаунтах были найдены данные:
- Apple — региональные прайс-листы на продукцию и какие-то логи.
- Система бронирования авиабилетов Amadeus — документы и файлы, связанные с авиакомпанией Singapore Airlines.
- Телеканал Discovery — база данных с миллионами имен и адресов электронной почты клиентов, а также контракты и налоговые документы.
- Американская PR-компания Edelman — резюме с персональными данными кандидатов на должности.
- Herbalife — файлы электронных таблиц с именами, телефонами и адресами электронной почты клиентов (всего около 100 тыс.).
- Schneider Electric — документация на проекты, содержащая в том числе, пароли доступа к оборудованию.
- Собственно, сама компания Box — соглашения о неразглашении с клиентами.
» Скрипт для перебора
» Словарь
» Список (около 3 тыс.) некоторых аккаунтов на Box
Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».
Комментарии (10)
glowingsword
13.03.2019 00:00То, что жулики из Herbalife погорели на использовании Box — даже хорошо. Показали свой обычный уровень и отношение к клиентам. А вот ребятам из Apple и с Discovery должно быть стыдно. Хороший канал, и люди там вроде работают не глупые…
erty
13.03.2019 10:19+1Не глупые. Просто относятся к своим клиентам и их данным как к мусору.
Получить консультацию сисадмина начального уровня о том, как обращаться с данными? Да ну не. Лучше больше столов для настольного тенниса и макбуков в офис поставить…
Valery4
14.03.2019 22:24Вы представляете что такое около ста тысяч клиентов и сколько это от общего числа клиентов? Это вполне могут быть клиенты какой-то одной организации. Если вы не в курсе сама компания с клиентами не работает.
IgorPie
Хотя бы перебором папок, а не как файлы «вконтакте», где даже на картошку фри не заперто.
ashotog Автор
А что там с файлами ВК?
Просто Box это корпоративный сервис, а не просто какая-то там файловая помойка. Их фишка типа безопасность, они с самого начала на это упирали.
IgorPie
«Легенда — важнее музыки». Это одна из главных заповедей маркетинга.
Что до ВК, то было несколько волн возмущения, что сканы паспортов находятся обычным поиском.
И с гуглом, когда тот же яндекс проиндексировал документы доступные по ссылке.
questor
Можно поподробнее про заповедь? Что-то не гуглится цитата.
Andrusha
Как я понял, файлы расшарили сами пользователи аккаунтов. Box просто предоставил такую техническую возможность, как и VK или, например, Dropbox. При этом, можно было поставить пароль, а не просто отправлять ссылку.
ashotog Автор
разумеется сами пользователи.
Protos
Фишка не в этом, например, в облаке mail.ru ссылка состоит из уникального набора символов разного регистра, а здесь явно не уникального