{"id":215569,"date":"2019-03-15T00:06:00","date_gmt":"2019-03-14T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215569"},"modified":"2023-02-28T10:37:29","modified_gmt":"2023-02-28T09:37:29","slug":"dutzende-fehlkonfigurierte-box-konten-leaken-firmendaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/15\/dutzende-fehlkonfigurierte-box-konten-leaken-firmendaten\/","title":{"rendered":"Dutzende fehlkonfigurierte Box-Konten leaken Firmendaten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Sicherheitsforschern sind Dutzende von Box Enterprise Storage Accounts aufgefallen, die sensible Unternehmens- und Kundendaten ungesch\u00fctzt im Internet bereitstellen.<\/p>\n<p><!--more--><\/p>\n<p>Box erm\u00f6glicht \u00fcber <a href=\"https:\/\/web.archive.org\/web\/20190727182322\/https:\/\/community.box.com\/t5\/Using-Shared-Links\/Creating-Shared-Links\/ta-p\/19523\" target=\"_blank\" rel=\"noopener noreferrer\">Box Shared Links<\/a> das Teilen von Inhalten mit mit Personen innerhalb und au\u00dferhalb des Unternehmens. Dazu werden Hyperlinks zu in Box gespeicherten Inhalten geteilt. Das Senden eines freigegebenen Links zu einer Datei oder einem Ordner ist eine einfache M\u00f6glichkeit der Zusammenarbeit.<\/p>\n<p><img decoding=\"async\" title=\"Cloud\" src=\"https:\/\/i.imgur.com\/OxFuvZK.jpg\" alt=\"Cloud\" \/><br \/>\n(Quelle: Pexels \/<a href=\"https:\/\/web.archive.org\/web\/20190930105547\/https:\/\/www.pexels.com\/photo\/blue-skies-clouds-cut-fingers-335907\/\">rawpixel<\/a> CC0 License)<\/p>\n<p>Diese Funktionen kennt man von OneDrive (Microsoft) und Google Drive. Und \u00e4hnlich wie bei anderen Online-Speichern kann man auch bei Box <a href=\"https:\/\/web.archive.org\/web\/20190608084641\/https:\/\/community.box.com\/t5\/Using-Shared-Links\/Securing-Shared-Links\/ta-p\/61843\" target=\"_blank\" rel=\"noopener noreferrer\">festlegen<\/a>, wer die zu einem Hyperlink geh\u00f6renden Box-Inhalte sehen darf. Box hat einen <a href=\"https:\/\/web.archive.org\/web\/20190331012842\/https:\/\/blog.box.com\/blog\/using-box-shared-links-securely\" target=\"_blank\" rel=\"noopener noreferrer\">eigenen Blog-Beitrag<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n<p>Techcrunch <a href=\"https:\/\/techcrunch.com\/2019\/03\/11\/data-leak-box-accounts\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a>, wie Unternehmen versehentlich sensible Unternehmens- und Kundendaten durchsickern lassen. Der Grund: Die Mitarbeiter teilen \u00f6ffentliche Links zu Dateien in ihren Box Enterprise Storage Accounts. Das Ganze wurde von Adversis, einem Cybersicherheitsunternehmen, entdeckt. Dieses stellte fest, dass gro\u00dfe Technologieunternehmen und Konzerngiganten versehentlich Daten offengelegt hatten.<\/p>\n<p>Obwohl die in Box Enterprise Accounts gespeicherten Daten standardm\u00e4\u00dfig privat sind, k\u00f6nnen Benutzer Dateien und Ordner f\u00fcr jeden freigeben und so Daten \u00fcber einen einzigen Link \u00f6ffentlich zug\u00e4nglich machen. Laut Adversis lassen sich diese \u00f6ffentlich freigegeben, aber in der Regel privat geteilten Links durch unbefugte Dritte entdecken.<\/p>\n<p>Mit einem Skript zum Scannen und Auflisten von Box-Konten mit Listen von Firmennamen und Wildcard-Suchen fand Adversis mehr als 90 Unternehmen mit \u00f6ffentlich zug\u00e4nglichen Box-Ordnern. Die dort gespeicherten Unterlagen waren damit f\u00fcr Adversis zug\u00e4nglich, obwohl dort teilweise sensibles Material lagerte. Darunter waren auch Box-Ordner von Box-Angestellten, die eigentlich wissen sollten, dass man so etwas nicht \u00f6ffentlich frei geben darf.<\/p>\n<p>Die Sicherheitforscher von Adversis haben Passfotos, Bankkonto- und Sozialversicherungsnummern, Passw\u00f6rter, Mitarbeiterlisten, Finanzdaten wie Rechnungen und Quittungen sowie Kundendaten auf den Box-Accounts gefunden. Die Sicherheitsforscher kontaktierten Box, um auf die gr\u00f6\u00dferen Risiken bez\u00fcglich der Offenlegung sensibler Daten hinzuweisen und zu warnen. Adversis stellte aber fest, dass es sechs Monate nach der ersten Offenlegung nur eine geringe allgemeine Verbesserung bez\u00fcglich dieses Themas gab.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforschern sind Dutzende von Box Enterprise Storage Accounts aufgefallen, die sensible Unternehmens- und Kundendaten ungesch\u00fctzt im Internet bereitstellen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1171,4328],"class_list":["post-215569","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215569"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215569\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}