Les chercheurs d'Adversis ont trouvé des dizaines de comptes d'entreprise sur le service de stockage de fichiers en ligne de Box.com qui contenait des informations d'entreprise sensibles et des données personnelles personnelles disponibles gratuitement.
Au total, plus de 90 entreprises ont trouvé des fichiers Box contenant des fichiers librement accessibles avec des scans de passeport, des numéros de sécurité sociale (SSN), des numéros de compte bancaire, des mots de passe, des listes d'employés, etc.
Pour effectuer une recherche, un script spécial a été utilisé (lien en bas de l'article), triant les comptes sur Box, utilisant un dictionnaire de mots anglais et un ensemble de modèles.
L'URL des fichiers partagés sur Box est:
https: //.app.box.com/v/ <fichier / dossier>
Tout d'abord, le nom de l'entreprise est sélectionné en fonction du dictionnaire, puis le nom du fichier ou du dossier est sélectionné.
De la même manière (éclatement), le stockage en nuage ouvert d'Amazon est découvert, à ce sujet, j'ai écrit une note séparée. Il convient de noter que, contrairement aux cas où des référentiels entiers (compartiments) sont laissés ouverts sur AWS, leur attribuant des droits d'accès de manière incorrecte, dans le cas de Box, les fichiers trouvés ont été intentionnellement partagés pour échange et l'absence d'accès non autorisé à ces derniers devrait être garantie par l'impossibilité à des étrangers pour apprendre l'URL (classique du genre - la sécurité par l'obscurité).
Quelques entreprises dans le compte de qui les données ont été trouvées:
- Apple - listes de prix des produits régionaux et une sorte de journaux.
- Système de réservation de vol Amadeus - documents et fichiers associés à Singapore Airlines.
- Discovery Channel est une base de données avec des millions de noms de clients et d'adresses e-mail, ainsi que des contrats et des documents fiscaux.
- Edelman, une société américaine de relations publiques - CV avec les données personnelles des candidats aux postes.
- Herbalife - fichiers de feuille de calcul avec les noms, numéros de téléphone et adresses e-mail des clients (environ 100 000 au total).
- Schneider Electric - documentation du projet, y compris les mots de passe d'accès aux équipements.
- En fait, Box lui-même est un accord de confidentialité avec les clients.
» Script pour itérer
» Dictionnaire
» Liste (environ 3 000) de certains comptes sur Box
Des nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur ma chaîne Telegram « Fuites d'informations ».