Adversis的研究人员在Box.com的基于云的文件存储服务中找到了数十个公司帐户,其中包含免费可用的敏感公司信息和个人客户数据。
总共发现超过90家公司的Box文件包含可免费访问的文件,包括护照扫描,社会安全号码(SSN),银行帐号,密码,员工名单等。
为了进行搜索,使用了一个特殊的脚本(文章底部的链接),使用英语单词词典和一组模板在Box上对帐户进行排序。
Box上共享文件的URL为:
https://.app.box.com/v/ <文件/文件夹>
首先,根据词典选择公司名称,然后选择文件或文件夹名称。
以几乎相同的方式(破坏),发现了亚马逊的开放式云存储 ,为此,我写了一条单独的说明。 值得注意的是,与在AWS上打开整个存储库(存储桶)的情况不同,错误地设置了对它们的访问权限,在Box的情况下,发现的文件是有意共享以交换的,因此,不可能出现的未经授权的访问应得到保证。向陌生人学习URL(该流派的经典类型-默默无闻的安全性)。
在Box帐户中找到数据的一些公司:
- 苹果-地区产品价格表和某种日志。
- Amadeus飞行预订系统-与新加坡航空相关的文件和文件。
- Discovery Channel是一个包含数百万个客户名称和电子邮件地址以及合同和税务文件的数据库。
- 美国公关公司爱德曼(Edelman)-继续提供职位候选人的个人数据。
- 康宝莱-包含客户名称,电话号码和电子邮件地址的电子表格文件(总计约10万个)。
- 施耐德电气-项目文档,包括设备访问密码。
- 实际上,Box本身是与客户签订的保密协议。
» 迭代脚本
» 字典
» Box上一些帐户的列表(约3000个)
有关信息泄漏和内部人员的新闻总能在我的电报频道“ Information Leaks ”中找到。