Geekly articles weekly

Berhasil menemukan lusinan penyimpanan korporat Box.com yang mengungkapkan data dari Apple, Herbalife, dll.

Para peneliti di Adversis menemukan lusinan akun perusahaan di layanan penyimpanan file berbasis cloud Box.com yang berisi informasi perusahaan yang sensitif dan data pribadi pelanggan.



Secara total, lebih dari 90 perusahaan ditemukan yang memiliki file Box yang berisi file yang dapat diakses secara bebas dengan pemindaian paspor, nomor jaminan sosial (SSN), nomor rekening bank, kata sandi, daftar karyawan, dll.


Untuk mencari, skrip khusus digunakan (tautan di bagian bawah artikel), menyortir akun di Box, menggunakan kamus kata-kata bahasa Inggris dan satu set templat.


URL untuk file yang dibagikan di Box adalah:


https: //.app.box.com/v/ <file / folder>

Pertama, nama perusahaan dipilih sesuai dengan kamus, lalu nama file atau folder dipilih.


Dalam cara yang hampir sama (penghilang), penyimpanan cloud terbuka Amazon ditemukan, tentang ini saya menulis catatan terpisah. Hanya perlu dicatat bahwa, tidak seperti kasus ketika seluruh repositori (ember) dibiarkan terbuka pada AWS, salah mengatur hak akses kepada mereka, dalam kasus Box, file yang ditemukan sengaja dibagikan untuk pertukaran dan tidak adanya akses tidak sah kepada mereka harus dijamin oleh ketidakmungkinan untuk orang asing untuk belajar URL (klasik genre - keamanan melalui ketidakjelasan).


Beberapa perusahaan di mana Box menyumbang data yang ditemukan:


  • Apple - daftar harga produk regional dan beberapa jenis log.
  • Sistem Reservasi Penerbangan Amadeus - dokumen dan file yang terkait dengan Singapore Airlines.
  • Discovery Channel adalah basis data dengan jutaan nama pelanggan dan alamat email, serta kontrak dan dokumen pajak.
  • Edelman, perusahaan PR-Amerika - melanjutkan dengan data pribadi kandidat untuk posisi.
  • Herbalife - file spreadsheet dengan nama, nomor telepon, dan alamat email pelanggan (totalnya sekitar 100 ribu).
  • Schneider Electric - dokumentasi proyek, termasuk kata sandi akses peralatan.
  • Sebenarnya, Box sendiri adalah perjanjian non-pengungkapan dengan pelanggan.

ยป Skrip untuk beralih
ยป Kamus
ยป Daftar (sekitar 3 ribu) dari beberapa akun di Box

Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya " Kebocoran informasi ".

Source: https://habr.com/ru/post/id443376/

More articles:


All Articles