Dutzende fehlkonfigurierte Box-Konten leaken Firmendaten

Publiziert am 15. März 2019 von Günter Born

Sicherheitsforschern sind Dutzende von Box Enterprise Storage Accounts aufgefallen, die sensible Unternehmens- und Kundendaten ungeschützt im Internet bereitstellen.

Anzeige

Box ermöglicht über Box Shared Links das Teilen von Inhalten mit mit Personen innerhalb und außerhalb des Unternehmens. Dazu werden Hyperlinks zu in Box gespeicherten Inhalten geteilt. Das Senden eines freigegebenen Links zu einer Datei oder einem Ordner ist eine einfache Möglichkeit der Zusammenarbeit.

Cloud
(Quelle: Pexels /rawpixel CC0 License)

Diese Funktionen kennt man von OneDrive (Microsoft) und Google Drive. Und ähnlich wie bei anderen Online-Speichern kann man auch bei Box festlegen, wer die zu einem Hyperlink gehörenden Box-Inhalte sehen darf. Box hat einen eigenen Blog-Beitrag zu diesem Thema veröffentlicht.

Techcrunch berichtet hier, wie Unternehmen versehentlich sensible Unternehmens- und Kundendaten durchsickern lassen. Der Grund: Die Mitarbeiter teilen öffentliche Links zu Dateien in ihren Box Enterprise Storage Accounts. Das Ganze wurde von Adversis, einem Cybersicherheitsunternehmen, entdeckt. Dieses stellte fest, dass große Technologieunternehmen und Konzerngiganten versehentlich Daten offengelegt hatten.

Anzeige

Obwohl die in Box Enterprise Accounts gespeicherten Daten standardmäßig privat sind, können Benutzer Dateien und Ordner für jeden freigeben und so Daten über einen einzigen Link öffentlich zugänglich machen. Laut Adversis lassen sich diese öffentlich freigegeben, aber in der Regel privat geteilten Links durch unbefugte Dritte entdecken.

Mit einem Skript zum Scannen und Auflisten von Box-Konten mit Listen von Firmennamen und Wildcard-Suchen fand Adversis mehr als 90 Unternehmen mit öffentlich zugänglichen Box-Ordnern. Die dort gespeicherten Unterlagen waren damit für Adversis zugänglich, obwohl dort teilweise sensibles Material lagerte. Darunter waren auch Box-Ordner von Box-Angestellten, die eigentlich wissen sollten, dass man so etwas nicht öffentlich frei geben darf.

Die Sicherheitforscher von Adversis haben Passfotos, Bankkonto- und Sozialversicherungsnummern, Passwörter, Mitarbeiterlisten, Finanzdaten wie Rechnungen und Quittungen sowie Kundendaten auf den Box-Accounts gefunden. Die Sicherheitsforscher kontaktierten Box, um auf die größeren Risiken bezüglich der Offenlegung sensibler Daten hinzuweisen und zu warnen. Adversis stellte aber fest, dass es sechs Monate nach der ersten Offenlegung nur eine geringe allgemeine Verbesserung bezüglich dieses Themas gab.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Dutzende fehlkonfigurierte Box-Konten leaken Firmendaten

  1. Daniel sagt:
    15. März 2019 um 08:28 Uhr

    Was für eine Story, danke dafür!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.