云盤服務(wù)Box帳號(hào)配置不當(dāng)，致數(shù)十家公司敏感數(shù)據(jù)泄露

北京時(shí)間3月12日上午消息，據(jù)美國科技媒體TechCrunch報(bào)道，網(wǎng)絡(luò)安全公司Adversis發(fā)現(xiàn)，有數(shù)十家公司因?yàn)閱T工公開分享云盤服務(wù)Box企業(yè)存儲(chǔ)帳號(hào)的文件鏈接，而無意間泄露了敏感的企業(yè)和客戶數(shù)據(jù)。

雖然存儲(chǔ)在Box企業(yè)帳號(hào)內(nèi)的數(shù)據(jù)默認(rèn)設(shè)置成私密狀態(tài)，但用戶可以與任何人分享文件或文件夾，因而只需要一個(gè)鏈接就可以公開接觸這些文件。但Adversis表示，這些秘密鏈接還可以被其他人發(fā)現(xiàn)。使用腳本掃描和枚舉的方式，Adversis發(fā)現(xiàn)有90多家公司的文件夾都可以公開訪問。

Box自己的員工也未能幸免。

該公司表示，雖然多數(shù)數(shù)據(jù)都是合法公開的，而且該公司也向用戶發(fā)送了建議，幫助其盡可能減少風(fēng)險(xiǎn)。但很多員工可能并不知道敏感數(shù)據(jù)被分享出去，甚至可以被其他人找到。

更糟糕的是，一些公共文件夾還可以被搜索引擎索引，導(dǎo)致信息更容易被發(fā)現(xiàn)。

Adversis表示，Box應(yīng)該重新配置默認(rèn)共享鏈接，限制為“公司內(nèi)部的人員”，從而降低意外暴露敏感信息的概率。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。