Gevoelige data van grote bedrijven gelekt via Box-accounts

Bedrijven die Box gebruiken als een cloud-gebaseerd systeem voor het hosten en delen van bestanden, lekken mogelijk per ongeluk hun interne bestanden, gevoelige documenten of eigen technologie. Dat ontdekte beveiligingsbedrijf Adversis, dat met Box en getroffen bedrijven samenwerkte om de fouten te herstellen.

De lekken zijn het gevolg van een menselijke fout, meldt ZDNet. Het probleem doet zich voor bij accounts die niet standaard het toegangsniveau “Mensen in je bedrijf” instellen voor het aanmaken van deellinkjes voor bestanden of mappen. Alle aangemaakte linkjes zijn daardoor toegankelijk voor iedereen.

Laat de organisatie gebruikers ook een link aanpassen om hem mooier te maken, dan kunnen linkjes naar de bestanden geraden worden met dictionary-aanvallen. Dat is dan ook wat Adversis vorig jaar deed. Het bedrijf stelt dat het Box scande op accounts die het eigendom zijn van grote bedrijven en probeerde om de URL’s van bestanden of mappen die in het verleden door werknemers gedeeld weden te raden.

Adversis zegt dat dit ook lukte, en diverse vormen van gevoelige data tegen is gekomen. Het gaat onder meer om honderden paspoortfoto’s, burgerservicenummers, lijsten van werknemers, prototypes en ontwerpen van technologie en VPN-configuraties. Een deel van de interne bestanden bleken bovendien van Apple, Discovery Channel, Herbalife, Schneider Electric en zelfs van Box zelf te zijn.

Lekken gedicht

Inmiddels zijn de meeste lekken gedicht. Box stelde al zijn klanten afgelopen september bovendien op de hoogte van het gevaar van het gebruik van verkeerde toegangstoestemmingen voor gedeelde linkjes van Box. Eigenaren van een Box-account worden geadviseerd om hun accountinstellingen te bekijken en de tools te gebruiken die Box in een blogbericht heeft beschreven, om te zien hoeveel publiek toegankelijke URL’s werknemers in het verleden hebben aangemaakt.

Of er sinds de waarschuwing van september minder openbare URL’s zijn aangemaakt, is onbekend. “We scannen niet proactief de deployments van onze klanten”, aldus een woordvoerder van het bedrijf. “Maar als klanten hulp nodig hebben of een specifiek probleem moeten bekijken, werken we met hen samen om hun linkjes te bekijken en potentiële problemen te identificeren.”