Appleは、企業向けクラウドストレージサービスであるBoxアカウントを通じて企業データが漏洩した多くの有名企業の1つである。
サイバーセキュリティ企業Adversisは、合計90社以上の企業のデータが漏洩したことを発見した。
TechCrunch は、この問題は Box が提供するパブリックリンク機能の脆弱性により発生したと報じています。
セキュリティ研究者は、従業員が Box エンタープライズ ストレージ アカウント内のファイルへの公開リンクを共有しており、それが簡単に発見できるため、数十の企業が機密性の高い企業データや顧客データを誤って漏洩していることを発見しました […]
Boxエンタープライズアカウントに保存されているデータはデフォルトで非公開ですが、ユーザーはファイルやフォルダを誰とでも共有できるため、単一のリンクでデータに公開できます。しかし、Adversisによると、これらの秘密のリンクは他人に発見される可能性があります。Adversisは、企業名リストとワイルドカード検索を使用してBoxアカウントをスキャン・列挙するスクリプトを使用し、公開フォルダを持つ企業を90社以上発見しました。
アドバーシスはブログ投稿で、プライバシーの問題は大規模な規模で存在していると書いた。
数百の顧客にわたって、数十万件の文書と数テラバイトのデータが漏洩していることを発見しました。
私たちが見つけたデータのサンプル:
- 数百枚のパスポート写真
- 社会保障番号と銀行口座番号
- 注目度の高い技術のプロトタイプと設計ファイル
- 従業員リスト
- 財務データ、請求書、社内問題追跡
- 顧客リストと長年にわたる社内会議のアーカイブ
- ITデータ、VPN構成、ネットワーク図
本質的に、Adversis が行ったのは、Box アカウントを持つ企業の既知のドメイン名とサブドメイン名 (http://company.app.box.com/) を取得し、辞書攻撃を使用して有効なリンクを識別することだけでした。
セキュリティ会社は9月に初めてBoxにこの問題を報告し、企業が機密データを削除する時間を与えるため、今日まで公表を待っていた。
テッククランチは、多くの企業が機密データを公開している一方で、アップルはそうではなかったようだと述べ、同社はその後、情報保護のための措置を講じている。
Appleは、ログや地域別価格表など、機密性のない内部データと思われるフォルダをいくつか公開していた[…]
Amadeus、Apple、Box、Discovery、Herbalife、Edelman、Pointcare はいずれも、TechCrunch からの連絡を受けて、漏洩したファイルへのアクセスを防ぐために企業アカウントを再設定した。
Boxは対策を講じていると述べた。
Boxの広報担当者デニス・ロン氏は声明で次のように述べています。「当社はお客様のセキュリティを最優先に考えており、共有するコンテンツの機密性に応じて適切なセキュリティレベルを選択できるコントロールを提供しています。場合によっては、ファイルやフォルダを広く共有したいというユーザーが、カスタムリンクや共有リンクの権限を「公開」または「オープン」に設定することがあります。当社は、これらの設定をより明確にし、ユーザーがファイルやフォルダの共有方法をより理解しやすくし、コンテンツが意図せず共有される可能性を低減するための対策を講じています。具体的には、管理ポリシーの改善と共有リンクに対する追加のコントロールの導入などを行います。」
クラウド大手は、公開ファイルやフォルダの意図しない発見を減らす計画だと述べた。
Box では、会社の電子メール アドレスを持つユーザーのみに利用を制限する、パスワード保護と有効期限ポリシーなどのアクセス制御を使用することをお客様に推奨しています。
wamice.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
