Los investigadores de Adversis encontraron docenas de cuentas corporativas en el servicio de almacenamiento de archivos basado en la nube de Box.com que contenía información corporativa confidencial y datos personales de clientes disponibles gratuitamente.
En total, se encontraron más de 90 compañías que tenían archivos Box que contenían archivos de acceso libre con escaneos de pasaportes, números de seguro social (SSN), números de cuentas bancarias, contraseñas, listas de empleados, etc.
Para buscar, se utilizó un script especial (enlace al final del artículo), ordenando cuentas en Box, usando un diccionario de palabras en inglés y un conjunto de plantillas.
La URL de los archivos compartidos en Box es:
https: //.app.box.com/v/ <archivo / carpeta>
Primero, se selecciona el nombre de la compañía de acuerdo con el diccionario, luego se selecciona el nombre del archivo o carpeta.
Casi de la misma manera (revienta), se descubre el almacenamiento en la nube abierta de Amazon , sobre esto escribí una nota por separado. Solo vale la pena señalar que, a diferencia de los casos en que los depósitos completos (cubos) se dejan abiertos en AWS, configurando incorrectamente los derechos de acceso a ellos, en el caso de Box, los archivos encontrados se compartieron intencionalmente para el intercambio y la ausencia de acceso no autorizado a ellos debería estar garantizada por la imposibilidad a extraños aprender URL (clásico del género - seguridad a través de la oscuridad).
Algunas empresas en cuyas cuentas de Box se encontraron los datos:
- Apple: listas de precios de productos regionales y algún tipo de registro.
- Sistema de reserva de vuelos de Amadeus: documentos y archivos asociados con Singapore Airlines.
- Discovery Channel es una base de datos con millones de nombres de clientes y direcciones de correo electrónico, así como contratos y documentos fiscales.
- Edelman, una empresa estadounidense de relaciones públicas: reanuda con datos personales de los candidatos para puestos.
- Herbalife: archivos de hojas de cálculo con los nombres, números de teléfono y direcciones de correo electrónico de los clientes (alrededor de 100 mil en total).
- Schneider Electric: documentación del proyecto, incluidas las contraseñas de acceso a los equipos.
- En realidad, Box es un acuerdo de confidencialidad con los clientes.
» Script para iterar
» Diccionario
» Lista (alrededor de 3 mil) de algunas cuentas en Box
Siempre se pueden encontrar noticias sobre filtraciones de información e información privilegiada en mi canal de Telegram " Fugas de información " .