知名网盘BOX.COM被曝存在数据泄露漏洞,文件共享链接可被搜索引擎检索

简介:
   
    知名网盘BOX.COM被曝存在数据泄露漏洞,文件共享链接可被搜索引擎检索

近日,知名在线数据管理网站 BOX.COM 被发现其文件共享机制存在安全风险,导致许多企业的部分机密数据和文件可以被谷歌、必应等搜索引擎直接检索。

发现该问题的威胁情报人员 Markus Neis 表示,

BOX.COM 在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。

据雷锋网了解,BOX 的企业网盘在国外相当出名,在中国也拥有一定的用户,它除了提供常见的文件存储、同步功能之外,还提供了一项用于多人共享文件和数据的“云协作”功能,而问题正是出在这一功能上。

根据 Neis 的解释,BOX 提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个URL链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。

知名网盘BOX.COM被曝存在数据泄露漏洞,文件共享链接可被搜索引擎检索

通过谷歌、必应等搜索引擎,Neis 检索到了上万个企业的“云协作”的文件共享链接,其中不乏一些标记有”机密”、“隐私”等字样的敏感商业信息。

他说,攻击者可以利用这个缺陷来访问存储在“云协作"中的敏感数据,这项“云协作”功能被普遍用于企业员工之间的协作办公,个人用户也经常使用。

默认情况下,这个链接生成之后,会授权访问者查看、下载、上传、编辑和重命名。

知名网盘BOX.COM被曝存在数据泄露漏洞,文件共享链接可被搜索引擎检索

Neis 表示 :

攻击者通过搜索引擎找到一个企业的“云协作”页面后,可以上传恶意软件到协作项目中,然后根据其中的电子邮件地址来邀请企业员工加入或者随意传播,以实施网络钓鱼

知名网盘BOX.COM被曝存在数据泄露漏洞,文件共享链接可被搜索引擎检索

【宅客频道编辑根据描述设想的一种攻击方式】

BOX.COM 回应

BOX.COM 方面认为,这些能被搜索引擎检索到的页面,账户持有人在第三方网站主动共享的,并非泄露,但他们也表示:

我们已经联系谷歌来删除这些公共索引,预计在短期之内完全删除,此外,我们已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在Google引擎上。

BOX.COM 说,他们将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。 同时他们强调,暴露在搜索引擎下的的共享链接的数量其实并不多。

外媒 Threatpost 透露其通过搜索引擎检索到了一些名称中带有“机密“、”私有“字样的文件,其中有一部分是戴尔科技公司的渠道合作伙伴的相关数据。但是至本文发布,雷锋网编辑已经无法被检索到这些链接。

戴尔公司在一份声明中写道:

一些数量有限的信息在短时间内可以被“出乎意料之外的人”看见,但目前问题已经被解决。

据悉,探索传播公司( Discovery Communications )也曾被发现有大量相关的文件和视频项目文件,但是目前所有链接均也无法访问,该公司对此没有置评。 

雷锋网(公众号:雷锋网)宅客频道认为,虽然 BOX.COM 在国内大部分地区无法正常访问,但该事件依然也可供国内众多云盘厂商和用户参考。

  
  本文作者: 谢幺

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
云安全 开发框架 人工智能
|
监控 Java 测试技术
华为P8亲撰性能优化笔记竟遭内部恶意开源,527页全部外泄
Java性能优化: Java性能优化个人觉得是Java进阶的必经之路。很多Java工程师对于执行代码后,底层运行的Java虚拟机可能一知半解。Java相比C/C++最大的区别是,少了内存管理。让工程师可以专注于应用主体逻辑,而不用去管理内存的使用,但这是一把双刃剑,如果让程序达到最佳的性能,是Java性能优化的初衷。
76 0
|
SQL 安全
google谷歌广告投放被拒登 提示有恶意垃圾软件
今年2020年3月20号,我们公司的国外网址在google adwords上线广告的时候,突然被提示拒登:恶意软件或垃圾软件,导致公司在网络营销上损失较大,每天都投入上百美元的广告费用也都暂停了,没有了国外客户的咨询,本身疫情带来的损失就很大,无奈我对网站又不懂,随即打了电话给谷歌客服。我们把大体情况介绍了一下。
411 0
google谷歌广告投放被拒登 提示有恶意垃圾软件
|
安全 计算机视觉
趋势科技称谷歌视频搜索含大量恶意网站链接
据国外媒体报道,趋势科技今日指出,谷歌视频搜索中约有40万个搜索结果链接到可重定向的恶意网站,访问这些网站将感染安装Windows操作系统的电脑。 趋势科技称,这些恶意软件使用了所谓的AQPlay-A方式进行攻击,用户访问这些恶意网站时,会要求升级Adobe Flash播放器以查看特定的视频内容,一旦在未受保护的电脑上运行该升级软件将会被感染。
1262 0
|
安全 搜索推荐
恶意程序操纵谷歌搜索引擎结果页面 用户需警惕
【Csdn 5月14日 详讯】最近,谷歌公司因“街景地图(Street Viewmapping)”的隐私安全隐忧和Android开源手机操作系统的商标侵权指控备受关注。然而,就目前来看,“矛头”已指向了谷歌的心脏:谷歌搜索引擎。
928 0
|
安全
谷歌公布十大恶意网站 均曾攻击上万网站
  鉴于最近网站感染恶意软件事件数量呈现增长趋势,谷歌最近公布了近几个月中最流行的十大恶意网站。   自2006年以来,谷歌一直在识别那些通过自动安装和运行恶意软件等方式攻击访问者的网站,也就是那些下载驱动式网站。
1265 0
|
机器学习/深度学习 安全 网络安全
|
运维 安全 数据安全/隐私保护
游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁
挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁
3691 0