Una configurazione errata del servizio di archiviazione cloud Box ha messo a rischio i dati sensibili di tantissimi utenti e aziende. Tra le società colpite figurano colossi come Apple e Discovery.
I servizi di archiviazione basati su cloud offrono la possibilità di condividere facilmente i dati con altri utenti o pubblicamente. I rischi solitamente sono bassi, ma tali dati possono comunque essere in qualche modo intercettati da malintenzionati, soprattutto quando ci si trova di fronta a qualche configurazione errata che facilita il tutto.
I ricercatori della società di sicurezza informatica Adversis hanno scoperto che numerosi e importanti clienti di Box Enterprise si sono ritrovati con alcuni dati e file sensibili disponibili pubblicamente. I ricercatori hanno infatti scoperto migliaia di documenti interni e terabyte di dati di clienti Box, tutti accessibili senza alcuna protezione.
Il problema è stato riscotnrato in una errata configurazione del servizio di condivisione di Box: quando un file veniva condiviso tramite collegamento, quest’ultimo permetteva di scoprire ulteriori collegamenti privati tramite un semplice attacco brute force.
Tali condivisioni erano attive solo per gli utenti dell’azienda che attivava il link, ma bastava un attacco abbastanza elementare per avere accesso a quello e a tanti altri collegamenti privati.
I dati scoperti da Adversis comprendono carte d’identità, passaporti, numeri di conto bancario, numeri di previdenza sociale, password, elenchi di dipendenti, dati finanziari e dati di clienti di aziende come Apple, Amadeus, Discovery, Herbalife, Edelman, Pointcare e Box stessa. Dopo segnalazione del problema, tutte le società identificate hanno riconfigurato i loro account aziendali.