Geekly articles weekly

Es ist gelungen, Dutzende von Box.com-Unternehmensspeichern zu finden, die Daten von Apple, Herbalife usw. offenlegen.

Forscher von Adversis fanden Dutzende von Unternehmenskonten im Cloud-basierten Dateispeicherdienst von Box.com, die frei verfügbare vertrauliche Unternehmensinformationen und persönliche Kundendaten enthielten.



Insgesamt wurden mehr als 90 Unternehmen gefunden, die Box-Dateien hatten, die frei zugängliche Dateien mit Pass-Scans, Sozialversicherungsnummern (SSN), Bankkontonummern, Passwörtern, Mitarbeiterlisten usw. enthielten.


Für die Suche wurde ein spezielles Skript verwendet (Link am Ende des Artikels), mit dem Konten in Box sortiert wurden, wobei ein Wörterbuch mit englischen Wörtern und eine Reihe von Vorlagen verwendet wurden.


Die URL für die freigegebenen Dateien in Box lautet:


https: //.app.box.com/v/ <Datei / Ordner>

Zuerst wird der Firmenname entsprechend dem Wörterbuch ausgewählt, dann wird der Datei- oder Ordnername ausgewählt.


Auf fast die gleiche Weise (Busting) wird der offene Cloud-Speicher von Amazon entdeckt. Dazu habe ich eine separate Notiz geschrieben. Es ist nur erwähnenswert, dass im Gegensatz zu den Fällen, in denen ganze Repositorys (Buckets) in AWS offen bleiben und Zugriffsrechte falsch festgelegt werden, im Fall von Box die gefundenen Dateien absichtlich zum Austausch freigegeben wurden und das Fehlen eines nicht autorisierten Zugriffs auf diese durch die Unmöglichkeit garantiert werden sollte an Fremde, um URL zu lernen (Klassiker des Genres - Sicherheit durch Dunkelheit).


Einige Unternehmen, in deren Box-Konten die Daten gefunden wurden:


  • Apple - regionale Produktpreislisten und eine Art Protokolle.
  • Amadeus Flight Reservation System - Dokumente und Dateien im Zusammenhang mit Singapore Airlines.
  • Discovery Channel ist eine Datenbank mit Millionen von Kundennamen und E-Mail-Adressen sowie Verträgen und Steuerdokumenten.
  • Edelman, ein amerikanisches PR-Unternehmen - Lebenslauf mit persönlichen Daten von Kandidaten für Positionen.
  • Herbalife - Tabellenkalkulationsdateien mit Namen, Telefonnummern und E-Mail-Adressen von Kunden (insgesamt ca. 100.000).
  • Schneider Electric - Projektdokumentation, einschließlich Gerätezugriffspasswörter.
  • Tatsächlich ist Box selbst eine Geheimhaltungsvereinbarung mit Kunden.

» Skript zum Iterieren
» Wörterbuch
» Liste (ungefähr 3 Tausend) einiger Konten auf Box

Nachrichten über Informationslecks und Insider finden Sie immer auf meinem Telegrammkanal „ Informationslecks “.

Source: https://habr.com/ru/post/de443376/

More articles:


All Articles