Adversisの研究者は、Box.comのクラウドベースのファイルストレージサービスで、自由に利用できる機密の企業情報と顧客の個人データを含む多数の企業アカウントを見つけました。
合計で、パスポートスキャン、社会保障番号(SSN)、銀行口座番号、パスワード、従業員リストなどを含む自由にアクセス可能なファイルを含むBoxファイルを持つ90以上の企業が見つかりました。
検索するために、特別なスクリプトが使用され(記事の下部にあるリンク)、Boxでアカウントをソートし、英語の単語の辞書と一連のテンプレートを使用しました。
Box上の共有ファイルのURLは次のとおりです。
https://.app.box.com/v/ <file / folder>
最初に、会社名が辞書から選択され、次にファイルまたはフォルダー名が選択されます。
ほぼ同じ方法(破綻)で、 Amazonのオープンクラウドストレージが発見されました 。これについては、別のメモを書きました。 リポジトリ(バケット)全体がAWSで開いたままになっている場合とは異なり、Boxのアクセス権を誤って設定している場合とは異なり、発見されたファイルは意図的に交換のために共有されており、それらへの不正アクセスがないことは不可能であることを保証する必要があることに注意してください知らない人にURLを習得する(ジャンルの古典-あいまいさによるセキュリティ)。
Boxアカウントでデータが見つかったいくつかの企業:
- アップル-地域の製品価格表と何らかのログ。
- Amadeus Flight Reservation System-シンガポール航空に関連するドキュメントとファイル。
- Discovery Channelは、数百万の顧客名と電子メールアドレス、および契約書と税務文書を含むデータベースです。
- エーデルマン、アメリカのPR会社-ポジションの候補者の個人データで再開します。
- Herbalife-顧客の名前、電話番号、電子メールアドレスを含むスプレッドシートファイル(合計約10万)。
- シュナイダーエレクトリック-機器アクセスパスワードを含むプロジェクト文書。
- 実際、Box自体は顧客との非開示契約です。
» 反復するスクリプト
» 辞書
» Boxの一部のアカウントのリスト(約3000)
情報漏えいやインサイダーに関するニュースは、私の電報チャンネル「 情報漏えい 」でいつでも見つけることができます。