- PVSM.RU - https://www.pvsm.ru -

Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д - 1

Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался специальный скрипт (линк внизу статьи), перебирающий аккаунты на Box, с применением словаря английских слов и набором шаблонов.

URL для расшаренных файлов на Box имеет вид:

https://.app.box.com/v/<file/folder>

Сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

Почти таким же способом (перебором) обнаруживают открытые облачные хранилища Amazon [1], про это я писал отдельную заметку. Только стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним, должно было гарантироваться невозможностью посторонним узнать URL (классика жанра — security through obscurity).

Некоторые компании, в чьих Box-аккаунтах были найдены данные:

  • Apple — региональные прайс-листы на продукцию и какие-то логи.
  • Система бронирования авиабилетов Amadeus — документы и файлы, связанные с авиакомпанией Singapore Airlines.
  • Телеканал Discovery — база данных с миллионами имен и адресов электронной почты клиентов, а также контракты и налоговые документы.
  • Американская PR-компания Edelman — резюме с персональными данными кандидатов на должности.
  • Herbalife — файлы электронных таблиц с именами, телефонами и адресами электронной почты клиентов (всего около 100 тыс.).
  • Schneider Electric — документация на проекты, содержащая в том числе, пароли доступа к оборудованию.
  • Собственно, сама компания Box — соглашения о неразглашении с клиентами.

» Скрипт для перебора [2]
» Словарь [3]
» Список (около 3 тыс.) некоторых аккаунтов на Box [4]

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации [5]».

Автор: ashotog

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/311357

Ссылки в тексте:

[1] открытые облачные хранилища Amazon: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

[2] Скрипт для перебора: https://github.com/Adversis/PandorasBox

[3] Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt

[4] Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68

[5] Утечки информации: http://tele.click/dataleak

[6] Источник: https://habr.com/ru/post/443376/?utm_source=habrahabr&utm_medium=rss&utm_campaign=443376