您的位置首页 >财经 >

Box的数十家公司无意中共享私人数据

超过90家公司通过基于云的文件共享系统Box无意中暴露了数十万个文档和数TB的数据。网络安全公司Adversis 暴露了潜在的安全问题,并表示从护照照片到社会保障和银行账号,原型和设计文件,员工名单以及财务和IT数据的所有内容都有所揭示。

虽然上传到Box Enterprise帐户的数据和文档在技术上是私有的,但用户可以通过链接共享访问权限,其中一些链接可以由碰巧拥有URL的任何人公开查看。Adversis发现一些公司已经透露了这些秘密链接 - 有些甚至被搜索引擎索引。Adversis最初计划单独与公司联系,但很快意识到问题的严重程度超出了这个范围。

Box发布了以下关于该报告的声明:“我们认真对待客户的安全性,并且我们提供的控制措施允许我们的客户根据他们共享的内容的敏感度选择适当的安全级别。在某些情况下,用户可能需要广泛共享文件或文件夹,并将自定义或共享链接的权限设置为公开或“打开”。我们正在采取措施使这些设置更加清晰,更好地帮助用户了解如何共享文件或文件夹,并减少内容无意中被共享的可能性,包括改进管理策略和引入对共享链接的额外控制。“

重要的是要注意,任何人理论上都可以访问的某些Box URL不是他们系统中的缺陷或错误。该公司指出,它有许多不同的方式来共享内容 - 文件可以是完全私有的,只有特定用户可以访问,或者有问题的URL(公共链接)的任何人都可以访问。用户还可以设置自定义网址,这主要是Adversis的研究所指的内容。

Box本身特别指出,如果公共Box URL在其他人可以找到的地方共享,就像可能被Google编入索引的网站一样,那么该内容将是可访问的。最佳安全实践要求不公开共享这些链接。具有自定义URL的公共Box链接也是如此 - 这些内容可能对内部共享很有用,但不应在受信任的人群之外共享。

为了解决Adversis发现的问题,Box正在采取一系列措施。对于初学者,Box管理控制台现在设置为默认禁用公共自定义共享URL; 除非管理员更改,否则用户将无法以这种方式共享链接。此外,共享链接的默认隐私设置设置为“公司中的人员”,默认情况下只能由管理员更改。最后,Box还与使用其工具的公司合作,确保他们知道如何审核组织中的公共和自定义URL,并在必要时使其更安全。

根据TechCrunch,Apple,电视网络Discovery,航班预订系统Amadeus,营养公司Herbalife和Opportunity International等公司的数据可以通过公共链接获得。它包括从客户电子邮件和电话号码到患者保险信息和公共工程项目详细信息的所有内容。

最终,这里的主要问题似乎是人们如何使用Box的公共URL而不是安全问题。为此,Box正在改进用户教育,当人们使用其产品共享URL时,要明确数据暴露的可能性,以便用户选择适合他们的安全级别。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。