暴风影音

您当前位置是:首页>>IT 资讯>>BOX网盘数据泄露,可从网上直接搜索
BOX网盘数据泄露,可从网上直接搜索
更新时间:2017-01-05浏览:

      近日,情报人员发现BOX.COM在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。
BOX网盘数据泄露,可从网上直接搜索
      据了解,BOX.COM是知名在线数据管理网站,BOX的企业网盘在国外相当出名,在中国也拥有一定的用户,它除了提供常见的文件存储、同步功能之外,还提供了一项用于多人共享文件和数据的“云协作”功能,而问题正是出在这一功能上。
      根据Neis的解释,BOX提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个URL链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。
BOX网盘数据泄露,可从网上直接搜索
      通过谷歌、必应等搜索引擎,Neis检索到了上万个企业的“云协作”的文件共享链接,其中不乏一些标记有”机密”、“隐私”等字样的敏感商业信息。他说,攻击者可以利用这个缺陷来访问存储在“云协作"中的敏感数据,这项“云协作”功能被普遍用于企业员工之间的协作办公,个人用户也经常使用。默认情况下,这个链接生成之后,会授权访问者查看、下载、上传、编辑和重命名。
BOX网盘数据泄露,可从网上直接搜索
      Neis表示:攻击者通过搜索引擎找到一个企业的“云协作”页面后,可以上传恶意软件到协作项目中,然后根据其中的电子邮件地址来邀请企业员工加入或者随意传播,以实施网络钓鱼。
BOX网盘数据泄露,可从网上直接搜索
根据描述设想的一种攻击方式
      BOX.COM方面认为,这些能被搜索引擎检索到的页面,账户持有人在第三方网站主动共享的,并非泄露,但他们也表示:我们已经联系谷歌来删除这些公共索引,预计在短期之内完全删除,此外,我们已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在Google引擎上。
      BOX.COM说,他们将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。同时他们强调,暴露在搜索引擎下的的共享链接的数量其实并不多。
      外媒Threatpost透露其通过搜索引擎检索到了一些名称中带有“机密“、”私有“字样的文件,其中有一部分是戴尔科技公司的渠道合作伙伴的相关数据。戴尔公司在一份声明中写道:一些数量有限的信息在短时间内可以被“出乎意料之外的人”看见,但目前问题已经被解决。
      据悉,探索传播公司(Discovery Communications)也曾被发现有大量相关的文件和视频项目文件,但是目前所有链接均无法访问,该公司对此没有置评。
      虽然BOX.COM在国内大部分地区无法正常访问,但该事件依然也可供国内众多云盘厂商和用户参考,在信息安全方面要打起十二万分精神。

更多>>Win7主题下载排行
更多>>XP主题下载排行
更多>>IT 热门资讯