Специалисты компании Adversis в очередной раз доказывают, что человеческий фактор – одна из наиболее острых проблем в сфере кибербезопасности. Исследователи обнаружили, что многие компании, использующие платформу для облачного хостинга и совместного использования файлов Box.com, часто оставляют в общем доступе внутренние файлы, важные документы и информацию о проприетарных технологиях. Проблема затрагивает таких гигантов, как Apple, Discovery Channel, Herbalife, Schneider Electric и даже саму Box.
Исследователи объясняют, что источник этой проблемы – тот факт, что по умолчанию уровень доступа к аккаунтам Box не ограничен сотрудниками конкретной компании, из-за чего ссылки на файлы и директории могут быть доступны широкой публике, включая случайных людей. К тому же Box позволяет организациям кастомизировать свои URL, вместо использования случайных символов, то есть в теории ссылки можно просто «подобрать», применив словарную атаку.
В рамках своего исследования, специалисты Adversis, по сути, сделали именно это: просканировали аккаунты Box, принадлежащие крупным компаниям, пытаясь «угадать» URL, на основе ссылок, которыми сотрудники открыто делились ранее. Результаты превзошли все ожидания, исследователи обнаружили:
- тысячи фотографий паспортов;
- номера социального страхования и банковских счетов;
- проектные файлы важных технологических прототипов;
- списки сотрудников;
- финансовую документацию и инвойсы;
- списки клиентов и многолетние архивы внутренних собраний;
- различные ИТ-данные, включая конфигурацию VPN и схемы сетей.
Сообщается, что в настоящее время большинство этих утечек уже были ликвидированы, так как специалисты Adversis уведомили компании о своих «находках» еще осенью прошлого года. Кстати, исходный код инструмента, которым пользовались аналитики, уже открыт и опубликован на GitHub.
Разработчики Box уже поспешили заверить СМИ, что в отчете Adversis речь идет не о каких-то уязвимостях. Также в компании подчеркнули, что предоставляют своим клиентам все необходимые инструменты для поиска открытых ссылок, их отключения, а также отключения кастомизации URL. Так, администраторы имеют возможность убедиться, что доступ «People in the Company» задан для всех ссылок, которыми делятся сотрудники. В блоге Box также был опубликован материал, посвященный тому, как проверить, сколько публично доступных ссылок создали сотрудники, как правильно настроить доступ и кастомизировать URL.