瑞士威胁情报研究员发现可通过搜索引擎检索到 Box 云盘用户的机密文档数据。Box.com 认为这是用户无意中超额共享导致的。目前云盘已经改变了处理公开共享帐户和文件夹的方式,“修复”了这个问题。
Box 云盘是由美国 Box 公司提供的一个在线文件共享以及云内容管理服务平台,为企业、商务及个人用户提供个性化服务,包括无限制的存储空间、自定义与管理控制。
Box 允许帐户持有人发送“协作邀请” URL 链接,任何人可通过链接访问共享文件,并具有查看、下载、上传、编辑和重命名文件权限。在某些情况下,这些“协作邀请”链接可被 Google 、Bing 和其他搜索引擎爬取收录。
上周,瑞士电信威胁情报研究员 Markus Neis 发现 Box 云盘在处理云共享服务时存在漏洞,攻击者可以通过搜索引擎查询到 Box 云盘用户分享给特定用户的“协作邀请”链接。Neis 已经使用 Google 、Bing 和其他搜索引擎找到上万条“协作邀请”链接,这些 Box 云盘帐户或文档中大部分存储着“良性”数据,但部分账户中包含“机密”文件如敏感的金融和公司数据以及所有者不打算公开的隐私数据。研究员已经联系了戴尔科技公司、美国传媒和娱乐公司( Discovery Communications )、生物技术公司 Illumina ,告知其意外公开分享了部分敏感数据,这些公司也纷纷采取应急措施解决问题。
Box.com 称已重组了所有网页,确保“协作邀请”链接不会被 Google 搜索引擎收录。Box 已与 Google 联系,删除了已经收录的“公开”链接。Box.com 补充到,暴露给搜索引擎的“协作邀请”链接只是很小的一部分,公司将继续评估邀请链接的权限模型,确保此功能既方便使用又能保障安全性。
from hackernews.cc.thanks for it.