123

Box 云盘共享机制存漏洞,部分账户商业、个人敏感数据泄露

  • 浏览次数 4569
  • 喜欢 0
  • 评分 12345

瑞士威胁情报研究员发现可通过搜索引擎检索到 Box  云盘用户的机密文档数据。Box.com 认为这是用户无意中超额共享导致的。目前云盘已经改变了处理公开共享帐户和文件夹的方式,“修复”了这个问题。

Box 云盘是由美国 Box 公司提供的一个在线文件共享以及云内容管理服务平台,为企业、商务及个人用户提供个性化服务,包括无限制的存储空间、自定义与管理控制。

wechatimg010401

Box 允许帐户持有人发送“协作邀请” URL  链接,任何人可通过链接访问共享文件,并具有查看、下载、上传、编辑和重命名文件权限。在某些情况下,这些“协作邀请”链接可被 Google  、Bing 和其他搜索引擎爬取收录。

上周,瑞士电信威胁情报研究员 Markus Neis  发现 Box  云盘在处理云共享服务时存在漏洞,攻击者可以通过搜索引擎查询到 Box  云盘用户分享给特定用户的“协作邀请”链接。Neis 已经使用 Google  、Bing 和其他搜索引擎找到上万条“协作邀请”链接,这些 Box  云盘帐户或文档中大部分存储着“良性”数据,但部分账户中包含“机密”文件如敏感的金融和公司数据以及所有者不打算公开的隐私数据。研究员已经联系了戴尔科技公司、美国传媒和娱乐公司( Discovery Communications )、生物技术公司 Illumina  ,告知其意外公开分享了部分敏感数据,这些公司也纷纷采取应急措施解决问题。

Box.com 称已重组了所有网页,确保“协作邀请”链接不会被 Google  搜索引擎收录。Box 已与 Google  联系,删除了已经收录的“公开”链接。Box.com 补充到,暴露给搜索引擎的“协作邀请”链接只是很小的一部分,公司将继续评估邀请链接的权限模型,确保此功能既方便使用又能保障安全性。

稿源:HackerNews.cc 独立翻译整理,封面来源:百度搜索。
转载或引用请注明 “转自 HackerNews.cc ” 并附上原文链接,违者必究。