近日，知名在線數(shù)據(jù)管理網(wǎng)站 BOX.COM 被發(fā)現(xiàn)其文件共享機(jī)制存在安全風(fēng)險，導(dǎo)致許多企業(yè)的部分機(jī)密數(shù)據(jù)和文件可以被谷歌、必應(yīng)等搜索引擎直接檢索。

發(fā)現(xiàn)該問題的威脅情報人員 Markus Neis 表示，

BOX.COM 在處理云存儲賬戶上存在缺陷，導(dǎo)致一個簡單的搜索引擎查詢就可以讓企業(yè)或個人的機(jī)密文件被任何人訪問。攻擊者利用該問題可以訪問企業(yè)存儲在“云協(xié)作”上的數(shù)據(jù)，其中包括戴爾科技集團(tuán)在內(nèi)的多家大型公司的數(shù)據(jù)。

據(jù)雷鋒網(wǎng)了解，BOX 的企業(yè)網(wǎng)盤在國外相當(dāng)出名，在中國也擁有一定的用戶，它除了提供常見的文件存儲、同步功能之外，還提供了一項用于多人共享文件和數(shù)據(jù)的“云協(xié)作”功能，而問題正是出在這一功能上。

根據(jù) Neis 的解釋，BOX 提供的“云協(xié)作”功能允許用戶邀請他人來共享賬戶下的文件目錄和數(shù)據(jù)，在共享文件時，會自動生成一個URL鏈接，任何人都可以通過這個鏈接進(jìn)入這個共享目錄，而關(guān)鍵問題就在于，這些鏈接所指向的頁面能被搜索引擎收錄并檢索，而這可能會被網(wǎng)絡(luò)攻擊者利用。

通過谷歌、必應(yīng)等搜索引擎，Neis 檢索到了上萬個企業(yè)的“云協(xié)作”的文件共享鏈接，其中不乏一些標(biāo)記有”機(jī)密”、“隱私”等字樣的敏感商業(yè)信息。

他說，攻擊者可以利用這個缺陷來訪問存儲在“云協(xié)作"中的敏感數(shù)據(jù)，這項“云協(xié)作”功能被普遍用于企業(yè)員工之間的協(xié)作辦公，個人用戶也經(jīng)常使用。

默認(rèn)情況下，這個鏈接生成之后，會授權(quán)訪問者查看、下載、上傳、編輯和重命名。

　　Neis 表示 :

攻擊者通過搜索引擎找到一個企業(yè)的“云協(xié)作”頁面后，可以上傳惡意軟件到協(xié)作項目中，然后根據(jù)其中的電子郵件地址來邀請企業(yè)員工加入或者隨意傳播，以實(shí)施網(wǎng)絡(luò)釣魚。

　　【宅客頻道編輯根據(jù)描述設(shè)想的一種攻擊方式】

BOX.COM 回應(yīng)

BOX.COM 方面認(rèn)為，這些能被搜索引擎檢索到的頁面，賬戶持有人在第三方網(wǎng)站主動共享的，并非泄露，但他們也表示：

我們已經(jīng)聯(lián)系谷歌來刪除這些公共索引，預(yù)計在短期之內(nèi)完全刪除，此外，我們已經(jīng)重組了所有的分享鏈接來確保之后的公共邀請鏈接不會被展示在Google引擎上。

BOX.COM 說，他們將繼續(xù)評估共享鏈接的權(quán)限模型，以確保該功能在保證安全的前提下可以盡其所用。 同時他們強(qiáng)調(diào)，暴露在搜索引擎下的的共享鏈接的數(shù)量其實(shí)并不多。

外媒 Threatpost 透露其通過搜索引擎檢索到了一些名稱中帶有“機(jī)密“、”私有“字樣的文件，其中有一部分是戴爾科技公司的渠道合作伙伴的相關(guān)數(shù)據(jù)。但是至本文發(fā)布，雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))編輯已經(jīng)無法被檢索到這些鏈接。

戴爾公司在一份聲明中寫道：

一些數(shù)量有限的信息在短時間內(nèi)可以被“出乎意料之外的人”看見，但目前問題已經(jīng)被解決。

據(jù)悉，探索傳播公司（ Discovery Communications ）也曾被發(fā)現(xiàn)有大量相關(guān)的文件和視頻項目文件，但是目前所有鏈接均也無法訪問，該公司對此沒有置評。

雷鋒網(wǎng)宅客頻道認(rèn)為，雖然 BOX.COM 在國內(nèi)大部分地區(qū)無法正常訪問，但該事件依然也可供國內(nèi)眾多云盤廠商和用戶參考。