當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

又一網(wǎng)盤(pán)被曝泄露：隱私數(shù)據(jù)網(wǎng)上隨便搜

責(zé)任編輯：editor004 |來(lái)源：企業(yè)網(wǎng)D1Net 2017-01-05 11:14:54 本文摘自：雷鋒網(wǎng)

近日，知名在線數(shù)據(jù)管理網(wǎng)站BOX.COM被發(fā)現(xiàn)其文件共享機(jī)制存在安全風(fēng)險(xiǎn)，導(dǎo)致許多企業(yè)的部分機(jī)密數(shù)據(jù)和文件可以被谷歌、必應(yīng)等搜索引擎直接檢索。

發(fā)現(xiàn)該問(wèn)題的威脅情報(bào)人員Markus Neis表示，BOX.COM 在處理云存儲(chǔ)賬戶上存在缺陷，導(dǎo)致一個(gè)簡(jiǎn)單的搜索引擎查詢(xún)就可以讓企業(yè)或個(gè)人的機(jī)密文件被任何人訪問(wèn)。攻擊者利用該問(wèn)題可以訪問(wèn)企業(yè)存儲(chǔ)在“云協(xié)作”上的數(shù)據(jù)，其中包括戴爾科技集團(tuán)在內(nèi)的多家大型公司的數(shù)據(jù)。

知名網(wǎng)盤(pán)被曝?cái)?shù)據(jù)泄露漏洞文件共享鏈接可被檢索

據(jù)雷鋒網(wǎng)了解，BOX 的企業(yè)網(wǎng)盤(pán)在國(guó)外相當(dāng)出名，在中國(guó)也擁有一定的用戶，它除了提供常見(jiàn)的文件存儲(chǔ)、同步功能之外，還提供了一項(xiàng)用于多人共享文件和數(shù)據(jù)的“云協(xié)作”功能，而問(wèn)題正是出在這一功能上。

根據(jù) Neis 的解釋?zhuān)珺OX 提供的“云協(xié)作”功能允許用戶邀請(qǐng)他人來(lái)共享賬戶下的文件目錄和數(shù)據(jù)，在共享文件時(shí)，會(huì)自動(dòng)生成一個(gè)URL鏈接，任何人都可以通過(guò)這個(gè)鏈接進(jìn)入這個(gè)共享目錄，而關(guān)鍵問(wèn)題就在于，這些鏈接所指向的頁(yè)面能被搜索引擎收錄并檢索，而這可能會(huì)被網(wǎng)絡(luò)攻擊者利用。

知名網(wǎng)盤(pán)被曝?cái)?shù)據(jù)泄露漏洞文件共享鏈接可被檢索

通過(guò)谷歌、必應(yīng)等搜索引擎，Neis 檢索到了上萬(wàn)個(gè)企業(yè)的“云協(xié)作”的文件共享鏈接，其中不乏一些標(biāo)記有”機(jī)密”、“隱私”等字樣的敏感商業(yè)信息。

他說(shuō)，攻擊者可以利用這個(gè)缺陷來(lái)訪問(wèn)存儲(chǔ)在“云協(xié)作"中的敏感數(shù)據(jù)，這項(xiàng)“云協(xié)作”功能被普遍用于企業(yè)員工之間的協(xié)作辦公，個(gè)人用戶也經(jīng)常使用。

默認(rèn)情況下，這個(gè)鏈接生成之后，會(huì)授權(quán)訪問(wèn)者查看、下載、上傳、編輯和重命名。

知名網(wǎng)盤(pán)被曝?cái)?shù)據(jù)泄露漏洞文件共享鏈接可被檢索

Neis 表示 :攻擊者通過(guò)搜索引擎找到一個(gè)企業(yè)的“云協(xié)作”頁(yè)面后，可以上傳惡意軟件到協(xié)作項(xiàng)目中，然后根據(jù)其中的電子郵件地址來(lái)邀請(qǐng)企業(yè)員工加入或者隨意傳播，以實(shí)施網(wǎng)絡(luò)釣魚(yú)。

知名網(wǎng)盤(pán)被曝?cái)?shù)據(jù)泄露漏洞文件共享鏈接可被檢索

　　根據(jù)描述設(shè)想的一種攻擊方式

BOX.COM 方面認(rèn)為，這些能被搜索引擎檢索到的頁(yè)面，賬戶持有人在第三方網(wǎng)站主動(dòng)共享的，并非泄露，但他們也表示：

我們已經(jīng)聯(lián)系谷歌來(lái)刪除這些公共索引，預(yù)計(jì)在短期之內(nèi)完全刪除，此外，我們已經(jīng)重組了所有的分享鏈接來(lái)確保之后的公共邀請(qǐng)鏈接不會(huì)被展示在Google引擎上。

BOX.COM 說(shuō)，他們將繼續(xù)評(píng)估共享鏈接的權(quán)限模型，以確保該功能在保證安全的前提下可以盡其所用。同時(shí)他們強(qiáng)調(diào)，暴露在搜索引擎下的的共享鏈接的數(shù)量其實(shí)并不多。

外媒 Threatpost 透露其通過(guò)搜索引擎檢索到了一些名稱(chēng)中帶有“機(jī)密“、”私有“字樣的文件，其中有一部分是戴爾科技公司的渠道合作伙伴的相關(guān)數(shù)據(jù)。但是至本文發(fā)布，雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯已經(jīng)無(wú)法被檢索到這些鏈接。

戴爾公司在一份聲明中寫(xiě)道：

一些數(shù)量有限的信息在短時(shí)間內(nèi)可以被“出乎意料之外的人”看見(jiàn)，但目前問(wèn)題已經(jīng)被解決。

據(jù)悉，探索傳播公司（ Discovery Communications ）也曾被發(fā)現(xiàn)有大量相關(guān)的文件和視頻項(xiàng)目文件，但是目前所有鏈接均也無(wú)法訪問(wèn)，該公司對(duì)此沒(méi)有置評(píng)。

雷鋒網(wǎng)宅客頻道認(rèn)為，雖然 BOX.COM 在國(guó)內(nèi)大部分地區(qū)無(wú)法正常訪問(wèn)，但該事件依然也可供國(guó)內(nèi)眾多云盤(pán)廠商和用戶參考。

關(guān)鍵字：隱私谷歌搜索引擎