Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden

Kürzlich wurde festgestellt, dass der Dateifreigabemechanismus der bekannten Online-Datenverwaltungswebsite BOX.COM Sicherheitsrisiken aufwies, was dazu führte, dass einige vertrauliche Daten und Dateien vieler Unternehmen direkt von Suchmaschinen wie Google und Bing abgerufen wurden. Markus Neis, der Threat Intelligence-Forscher, der das Problem entdeckte, sagte, dass BOX.COM einen Fehler im Umgang mit Cloud-Speicherkonten aufwies, der es ermöglichte, dass durch eine einfache Suchmaschinenabfrage jeder auf vertrauliche Unternehmens- oder Privatdateien zugreifen konnte. Angreifer könnten das Problem ausnutzen, um auf in der Cloud Collaboration gespeicherte Daten zuzugreifen, darunter auch Daten mehrerer großer Unternehmen, darunter Dell Technologies. Es wird davon ausgegangen , dass die Enterprise-Netzwerkfestplatte von BOX im Ausland recht bekannt ist und in China eine gewisse Anzahl von Benutzern hat. Neben der Bereitstellung allgemeiner Dateispeicher- und Synchronisierungsfunktionen bietet es auch eine Funktion zur „Cloud-Zusammenarbeit“, mit der mehrere Personen Dateien und Daten gemeinsam nutzen können. Genau in dieser Funktion liegt das Problem. Laut Neis‘ Erklärung ermöglicht die von BOX bereitgestellte Funktion „Cloud-Zusammenarbeit“, dass Benutzer andere einladen können, Dateiverzeichnisse und Daten unter ihren Konten zu teilen. Beim Teilen von Dateien wird automatisch ein URL-Link generiert, und jeder kann über diesen Link auf das freigegebene Verzeichnis zugreifen. Das Hauptproblem besteht darin, dass die Seiten, auf die diese Links verweisen, von Suchmaschinen eingebunden und abgerufen werden können, was von Netzwerkangreifern ausgenutzt werden kann. Über Suchmaschinen wie Google und Bing hat Neis File-Sharing-Links für die „Cloud-Zusammenarbeit“ von Zehntausenden Unternehmen abgerufen, darunter auch einige sensible Geschäftsinformationen, die mit Wörtern wie „vertraulich“ und „Datenschutz“ gekennzeichnet waren. Er sagte , Angreifer könnten die Schwachstelle ausnutzen, um auf vertrauliche Daten zuzugreifen, die in der „Cloud Collaboration“ gespeichert sind, einer Funktion, die von Unternehmensmitarbeitern und Einzelbenutzern häufig für die Zusammenarbeit verwendet wird. Sobald dieser Link generiert ist, berechtigt er den Besucher standardmäßig zum Anzeigen, Herunterladen, Hochladen, Bearbeiten und Umbenennen. Neis sagte: „Wenn der Angreifer über eine Suchmaschine die Seite zur „Cloud-Zusammenarbeit“ eines Unternehmens findet, kann er Schadsoftware in das Zusammenarbeitsprojekt hochladen und dann Mitarbeiter des Unternehmens zur Teilnahme einladen oder sie nach Belieben anhand der darin enthaltenen E-Mail-Adressen verbreiten, um Phishing durchzuführen.“
BOX.COM geht aufgrund der beschriebenen Angriffsmethode davon aus, dass diese von Suchmaschinen abrufbaren Seiten von Kontoinhabern aktiv auf Websites von Drittanbietern geteilt werden und nicht durchsickern, teilte jedoch auch mit: „Wir haben Google kontaktiert, um diese öffentlichen Indizes zu löschen, und es wird erwartet, dass sie in Kürze vollständig gelöscht werden.“ Darüber hinaus haben wir alle Freigabelinks neu organisiert, um sicherzustellen, dass nachfolgende öffentliche Einladungslinks nicht in der Google-Suchmaschine angezeigt werden. BOX.COM teilte mit, dass das Unternehmen das Berechtigungsmodell für freigegebene Links weiterhin evaluieren werde, um sicherzustellen, dass das volle Potenzial der Funktion unter Wahrung der Sicherheit genutzt werden könne. Gleichzeitig betonten sie, dass die Zahl der freigegebenen Links, die den Suchmaschinen angezeigt werden, tatsächlich nicht groß sei. Das ausländische Medium Threatpost gab bekannt, dass es über Suchmaschinen einige Dateien mit den Wörtern „vertraulich“ und „privat“ in ihren Namen abgerufen hat, von denen einige relevante Daten zu den Vertriebspartnern von Dell Technologies enthielten. Dell schrieb in einer Erklärung, dass für einen kurzen Zeitraum eine begrenzte Menge an Informationen für „unbeabsichtigte Parteien“ sichtbar gewesen sei, das Problem jedoch inzwischen behoben sei. Berichten zufolge wurde bei Discovery Communications auch eine große Zahl zugehöriger Dokumente und Videoprojektdateien gefunden, allerdings sind derzeit alle Links nicht zugänglich und das Unternehmen hat sich hierzu nicht geäußert.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.

<<: Schwarzhändler für Bahntickets rüsten auf: 2G-Breitband + umfassender Verifizierungscode

>>: Yiche-Ranking: BYD ist im Januar 2025 mit insgesamt 22.915 verkauften Fahrzeugen die meistverkaufte Marke in der Provinz Guangdong

Die chinesische Version des Tesla, NIO ES8, wird auf den Markt gebracht. Können sich die Verbraucher mit der High-End-Positionierung anfreunden?

Artikel

KI trainiert KI? Vielleicht dümmer werden

Artikel empfehlen

Welche Muskeln werden mit der Armstange trainiert?

Unter den verschiedenen Fitnessgeräten sind Armst...

Wie würde Jobs reagieren, wenn ihm ein Mitarbeiter sagen würde, dass eine Aufgabe nicht erledigt sei?

Apple-Mitbegründer und ehemaliger CEO Steve Jobs ...

Wie formuliert man eine Ernährungspolitik? Wie ernährt man sich gesünder? Diese sind untrennbar mit der Ernährungsforschung verbunden

Produziert von: Science Popularization China Auto...

Was ist das „Piping“-Phänomen, das durch den Deichbruch des Dongting-Sees verursacht wird? Wie kann eine Notfallrettung durchgeführt werden?

5. Juli, Nachmittag Dorf Tuanbei, Gemeinde Tuanzh...

Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden

Die chinesische Version des Tesla, NIO ES8, wird auf den Markt gebracht. Können sich die Verbraucher mit der High-End-Positionierung anfreunden?

KI trainiert KI? Vielleicht dümmer werden

Cartoon | Werden Sie „gentechnisch verändert“, wenn Sie gentechnisch veränderte Lebensmittel essen?

Was ist die effektivste Übung zum Trainieren der Bauchmuskulatur?

Bekomme ich durch das Training auf dem Spinning-Bike dicke Beine?

In einer klaren Nacht des Mittherbstfestes begegnen wir den Sternen und dem Mond

Wahnsinnig hässlich! Es gibt "Jahresringe" am Hals

Ist Seilspringen am Morgen gut für die Gesundheit?

Aerobe Gewichtsverlust- und Fitnessmethoden

Um das audiovisuelle Erlebnis zu ergänzen, werden lange Videos im Jahr 2024 wieder beliebt sein

Artikel empfehlen

Welche Muskeln werden mit der Armstange trainiert?

Wie würde Jobs reagieren, wenn ihm ein Mitarbeiter sagen würde, dass eine Aufgabe nicht erledigt sei?

Wie formuliert man eine Ernährungspolitik? Wie ernährt man sich gesünder? Diese sind untrennbar mit der Ernährungsforschung verbunden

Welche Fitnessmethoden gibt es zur Brustvergrößerung?

Welche Vorteile hat Yoga für den Körper?

Wissenschaftliche Handschuhbox: Die Geheimnisse von Weltraumexperimenten lüften

Boston Consulting Group: Bericht zur Kohlenstoffemissionsstudie 2024

Die mobile Office-Version von Microsoft ist kostenlos: nur um seine Präsenz zu zeigen

So trainieren Sie die Halsmuskulatur

Kann Laufen Sie größer machen?

Was ist das „Piping“-Phänomen, das durch den Deichbruch des Dongting-Sees verursacht wird? Wie kann eine Notfallrettung durchgeführt werden?

Diskussion über WeChats O2O-Weg nach dem Zusammenbruch der Dingdong-Community

Lao Duan sagte: Intranet OTT ist nur ein Traum

Könnten Menschen aus der Song-Dynastie gewinnen, wenn sie an der Weltmeisterschaft teilnähmen?

Wer ist die Blumenmücke? In weniger als 50 Jahren hat sich die Mücke in China zur häufigsten Art entwickelt.