Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

в 6:49, , рубрики: data breach, data leak, data loss, информационная безопасность, облачные сервисы, утечка данных, утечки информации

Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д - 1

Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался специальный скрипт (линк внизу статьи), перебирающий аккаунты на Box, с применением словаря английских слов и набором шаблонов.

URL для расшаренных файлов на Box имеет вид:

https://.app.box.com/v/<file/folder>

Сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

Почти таким же способом (перебором) обнаруживают открытые облачные хранилища Amazon, про это я писал отдельную заметку. Только стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним, должно было гарантироваться невозможностью посторонним узнать URL (классика жанра — security through obscurity).

Некоторые компании, в чьих Box-аккаунтах были найдены данные:

  • Apple — региональные прайс-листы на продукцию и какие-то логи.
  • Система бронирования авиабилетов Amadeus — документы и файлы, связанные с авиакомпанией Singapore Airlines.
  • Телеканал Discovery — база данных с миллионами имен и адресов электронной почты клиентов, а также контракты и налоговые документы.
  • Американская PR-компания Edelman — резюме с персональными данными кандидатов на должности.
  • Herbalife — файлы электронных таблиц с именами, телефонами и адресами электронной почты клиентов (всего около 100 тыс.).
  • Schneider Electric — документация на проекты, содержащая в том числе, пароли доступа к оборудованию.
  • Собственно, сама компания Box — соглашения о неразглашении с клиентами.

» Скрипт для перебора
» Словарь
» Список (около 3 тыс.) некоторых аккаунтов на Box

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

Автор: ashotog

Источник

* - обязательные к заполнению поля