Pesquisadores da Adversis encontraram dezenas de contas corporativas no serviço de armazenamento de arquivos baseado em nuvem da Box.com, que continham informações corporativas confidenciais disponíveis gratuitamente e dados pessoais de clientes.
No total, foram encontradas mais de 90 empresas que possuíam arquivos Box que continham arquivos acessíveis gratuitamente com varreduras de passaporte, números de previdência social (SSNs), números de contas bancárias, senhas, listas de funcionários etc.
Para a pesquisa, foi utilizado um script especial (link na parte inferior do artigo), ordenando as contas no Box, utilizando um dicionário de palavras em inglês e um conjunto de modelos.
O URL para os arquivos compartilhados no Box é:
https: //.app.box.com/v/ <arquivo / pasta>
Primeiro, o nome da empresa é selecionado de acordo com o dicionário e, em seguida, o nome do arquivo ou pasta.
Quase da mesma maneira (impedindo), o armazenamento em nuvem aberta da Amazon é descoberto. Sobre isso, escrevi uma nota separada. Vale ressaltar que, diferentemente dos casos em que repositórios inteiros (buckets) são deixados abertos na AWS, configurando incorretamente direitos de acesso a eles, no caso da Box, os arquivos encontrados foram compartilhados intencionalmente para troca e a ausência de acesso não autorizado a eles deve ser garantida pela impossibilidade para estranhos aprenderem URL (clássico do gênero - segurança através da obscuridade).
Algumas empresas em cuja caixa registra os dados foram encontrados:
- Apple - listas de preços de produtos regionais e algum tipo de registro.
- Sistema de reserva de voo Amadeus - documentos e arquivos associados à Singapore Airlines.
- O Discovery Channel é um banco de dados com milhões de nomes de clientes e endereços de email, além de contratos e documentos fiscais.
- Edelman, uma empresa americana de relações públicas - retoma com dados pessoais de candidatos a cargos.
- Herbalife - arquivos de planilhas com os nomes, números de telefone e endereços de e-mail dos clientes (cerca de 100 mil no total).
- Schneider Electric - documentação do projeto, incluindo senhas de acesso ao equipamento.
- Na verdade, a própria Box é um acordo de não divulgação com os clientes.
» Script para iterar
» Dicionário
» Lista (cerca de 3 mil) de algumas contas na Box
Sempre são encontradas notícias sobre vazamentos de informações e informações privilegiadas no meu canal do Telegram, “ Vazamentos de informações ”.