عثر الباحثون في Adversis على العشرات من حسابات الشركات على خدمة تخزين الملفات المستندة إلى السحابة في Box.com والتي تضمنت معلومات حساسة متاحة مجانًا للشركات وبيانات العملاء الشخصية.
في المجموع ، تم العثور على أكثر من 90 شركة تحتوي على ملفات Box تحتوي على ملفات يمكن الوصول إليها مجانًا باستخدام عمليات فحص جوازات السفر وأرقام الضمان الاجتماعي (SSN) وأرقام الحسابات المصرفية وكلمات المرور وقوائم الموظفين ، إلخ.
للبحث ، تم استخدام برنامج نصي خاص (رابط في أسفل المقالة) ، وفرز الحسابات على Box ، باستخدام قاموس يحتوي على الكلمات الإنجليزية ومجموعة من القوالب.
عنوان URL للملفات المشتركة على Box هو:
https: //.app.box.com/v/ <file / folder>
أولاً ، يتم تحديد اسم الشركة وفقًا للقاموس ، ثم يتم تحديد اسم الملف أو المجلد.
بنفس الطريقة تقريبًا (خرق) ، تم اكتشاف التخزين السحابي المفتوح من Amazon ، حول هذا الموضوع كتبت ملاحظة منفصلة. تجدر الإشارة فقط إلى أنه ، على عكس الحالات التي تُترك فيها مستودعات كاملة (مجموعات) مفتوحة على AWS ، وتضبط بشكل غير صحيح حقوق الوصول إليها ، في حالة Box ، تم العثور على الملفات التي تم العثور عليها لتبادلها عن قصد ، ويجب ضمان عدم إمكانية الوصول غير المصرح بها إليها بسبب الاستحالة. للغرباء لمعرفة URL (الكلاسيكية من النوع - الأمن من خلال الغموض).
بعض الشركات في حسابات الصندوق تم العثور على البيانات:
- أبل - قوائم أسعار المنتجات الإقليمية ونوع من السجلات.
- نظام Amadeus Flight Reservation - المستندات والملفات المرتبطة بشركة الخطوط الجوية السنغافورية.
- قناة Discovery هي قاعدة بيانات تحتوي على ملايين من أسماء العملاء وعناوين البريد الإلكتروني ، بالإضافة إلى العقود والمستندات الضريبية.
- Edelman ، شركة العلاقات العامة الأمريكية - تستأنف مع البيانات الشخصية للمرشحين للمناصب.
- هرباليفي - ملفات جدول البيانات مع أسماء وأرقام الهواتف وعناوين البريد الإلكتروني للعملاء (حوالي 100 ألف في المجموع).
- Schneider Electric - وثائق المشروع ، بما في ذلك كلمات مرور الوصول إلى المعدات.
- في الواقع ، Box نفسها هي اتفاقية عدم إفشاء مع العملاء.
» النصي للتكرار
» قاموس
» قائمة (حوالي 3 آلاف) من بعض الحسابات على مربع
يمكن دائمًا العثور على أخبار حول تسرب المعلومات والمطلعين على قناة Telegram الخاصة بي " تسرب المعلومات ".