【獵雲網(微信號:ilieyun)】3月12日報導(編譯:福爾摩望)
據悉,雲文件共享系統Box意外泄漏了逾90家公司數十萬份文檔和兆字節的數據。網絡安全公司Adversis揭露了潛在的安全隱患,並表示從護照照片到社會安全和銀行账號、原型和設計文件、員工名單、財務和信息技術數據等一切信息都被泄漏。
雖然上傳到Box企業帳戶的數據和文檔從技術上來說都是私有的,但用戶可以通過鏈接共享訪問權限,其中一些鏈接可以讓擁有該鏈接的人公開查看。Adversis發現一些公司已經泄漏了這些秘密鏈接,有些甚至可以被搜索引擎所索引。Adversis最初計劃單獨接觸這些公司,但很快意識到問題的規模超出了可以掌控的範圍。
Box發布了如下聲明:“我們重視客戶的安全,並提供控制措施,允許客戶根據他們共享內容的敏感性選擇合適的安全級別。在某些情況下,用戶可能希望廣泛共享文件或文件夾,並將自定義或共享鏈接的權限設置為公開。我們正在采取措施使這些設置更加清晰,更好地幫助用戶理解如何共享文件或文件夾,並降低意外共享內容的可能性,包括改進管理策略和引入對共享鏈接的附加控制。”
值得注意的是,一些理論上可以被任何人查看的Box鏈接並不是該公司系統的失誤。該公司指出,它有許多不同的方式來共享內容,比如完全私有、僅限特定用戶訪問,或者公開訪問。用戶還可以設置自定義鏈接,這也是Adversis最初發現問題的地方。
Box特別指出,如果一個公開Box鏈接被共享到其他人可以找到的地方,比如一個可能被谷歌索引的網站,那麽該內容將是可訪問的。最佳安全實踐要求不公開共享這些鏈接。
為了解決泄漏事件所引起的擔憂,Box正在采取一些措施。首先,Box管理控制台現在被設置為默認禁用公開自定義共享鏈接;除非管理員改變這一點,否則用戶將無法以這種方式共享鏈接。此外,共享鏈接的默認隱私設置被設置為“公司職員”,並且該默認設置只能由管理員更改。最後,Box還與使用其工具的公司合作,以確保他們知道如何審計組織中的公開和自定義鏈接,並在必要時使它們更加安全。
據外媒報導,蘋果、探索頻道、班機預訂系統Amadeus、營養公司康寶萊和Opportunity International都是遭遇此次意外泄漏事件影響的公司。
香港九龍灣馬來街興發大廈15樓D室