Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden

Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden
Kürzlich wurde festgestellt, dass der Dateifreigabemechanismus der bekannten Online-Datenverwaltungswebsite BOX.COM Sicherheitsrisiken aufwies, was dazu führte, dass einige vertrauliche Daten und Dateien vieler Unternehmen direkt von Suchmaschinen wie Google und Bing abgerufen wurden. Markus Neis, der Threat Intelligence-Forscher, der das Problem entdeckte, sagte, dass BOX.COM einen Fehler im Umgang mit Cloud-Speicherkonten aufwies, der es ermöglichte, dass durch eine einfache Suchmaschinenabfrage jeder auf vertrauliche Unternehmens- oder Privatdateien zugreifen konnte. Angreifer könnten das Problem ausnutzen, um auf in der Cloud Collaboration gespeicherte Daten zuzugreifen, darunter auch Daten mehrerer großer Unternehmen, darunter Dell Technologies. Es wird davon ausgegangen , dass die Enterprise-Netzwerkfestplatte von BOX im Ausland recht bekannt ist und in China eine gewisse Anzahl von Benutzern hat. Neben der Bereitstellung allgemeiner Dateispeicher- und Synchronisierungsfunktionen bietet es auch eine Funktion zur „Cloud-Zusammenarbeit“, mit der mehrere Personen Dateien und Daten gemeinsam nutzen können. Genau in dieser Funktion liegt das Problem. Laut Neis‘ Erklärung ermöglicht die von BOX bereitgestellte Funktion „Cloud-Zusammenarbeit“, dass Benutzer andere einladen können, Dateiverzeichnisse und Daten unter ihren Konten zu teilen. Beim Teilen von Dateien wird automatisch ein URL-Link generiert, und jeder kann über diesen Link auf das freigegebene Verzeichnis zugreifen. Das Hauptproblem besteht darin, dass die Seiten, auf die diese Links verweisen, von Suchmaschinen eingebunden und abgerufen werden können, was von Netzwerkangreifern ausgenutzt werden kann. Über Suchmaschinen wie Google und Bing hat Neis File-Sharing-Links für die „Cloud-Zusammenarbeit“ von Zehntausenden Unternehmen abgerufen, darunter auch einige sensible Geschäftsinformationen, die mit Wörtern wie „vertraulich“ und „Datenschutz“ gekennzeichnet waren. Er sagte , Angreifer könnten die Schwachstelle ausnutzen, um auf vertrauliche Daten zuzugreifen, die in der „Cloud Collaboration“ gespeichert sind, einer Funktion, die von Unternehmensmitarbeitern und Einzelbenutzern häufig für die Zusammenarbeit verwendet wird. Sobald dieser Link generiert ist, berechtigt er den Besucher standardmäßig zum Anzeigen, Herunterladen, Hochladen, Bearbeiten und Umbenennen. Neis sagte: „Wenn der Angreifer über eine Suchmaschine die Seite zur „Cloud-Zusammenarbeit“ eines Unternehmens findet, kann er Schadsoftware in das Zusammenarbeitsprojekt hochladen und dann Mitarbeiter des Unternehmens zur Teilnahme einladen oder sie nach Belieben anhand der darin enthaltenen E-Mail-Adressen verbreiten, um Phishing durchzuführen.“
BOX.COM geht aufgrund der beschriebenen Angriffsmethode davon aus, dass diese von Suchmaschinen abrufbaren Seiten von Kontoinhabern aktiv auf Websites von Drittanbietern geteilt werden und nicht durchsickern, teilte jedoch auch mit: „Wir haben Google kontaktiert, um diese öffentlichen Indizes zu löschen, und es wird erwartet, dass sie in Kürze vollständig gelöscht werden.“ Darüber hinaus haben wir alle Freigabelinks neu organisiert, um sicherzustellen, dass nachfolgende öffentliche Einladungslinks nicht in der Google-Suchmaschine angezeigt werden. BOX.COM teilte mit, dass das Unternehmen das Berechtigungsmodell für freigegebene Links weiterhin evaluieren werde, um sicherzustellen, dass das volle Potenzial der Funktion unter Wahrung der Sicherheit genutzt werden könne. Gleichzeitig betonten sie, dass die Zahl der freigegebenen Links, die den Suchmaschinen angezeigt werden, tatsächlich nicht groß sei. Das ausländische Medium Threatpost gab bekannt, dass es über Suchmaschinen einige Dateien mit den Wörtern „vertraulich“ und „privat“ in ihren Namen abgerufen hat, von denen einige relevante Daten zu den Vertriebspartnern von Dell Technologies enthielten. Dell schrieb in einer Erklärung, dass für einen kurzen Zeitraum eine begrenzte Menge an Informationen für „unbeabsichtigte Parteien“ sichtbar gewesen sei, das Problem jedoch inzwischen behoben sei. Berichten zufolge wurde bei Discovery Communications auch eine große Zahl zugehöriger Dokumente und Videoprojektdateien gefunden, allerdings sind derzeit alle Links nicht zugänglich und das Unternehmen hat sich hierzu nicht geäußert.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.

<<:  Schwarzhändler für Bahntickets rüsten auf: 2G-Breitband + umfassender Verifizierungscode

>>:  Yiche-Ranking: BYD ist im Januar 2025 mit insgesamt 22.915 verkauften Fahrzeugen die meistverkaufte Marke in der Provinz Guangdong

Artikel empfehlen

Welche Muskeln werden mit der Armstange trainiert?

Unter den verschiedenen Fitnessgeräten sind Armst...

Welche Fitnessmethoden gibt es zur Brustvergrößerung?

Brüste sind ein sehr wichtiger Teil des Körpers e...

Welche Vorteile hat Yoga für den Körper?

Gesundheitserhaltung ist ein Thema, das heutzutag...

Wissenschaftliche Handschuhbox: Die Geheimnisse von Weltraumexperimenten lüften

Wenn wir in den Sternenhimmel blicken, kommt uns ...

Boston Consulting Group: Bericht zur Kohlenstoffemissionsstudie 2024

Trotz der sich verschärfenden Klimakrise und obwo...

So trainieren Sie die Halsmuskulatur

Die Halswirbel sind der wichtigste Teil unseres K...

Kann Laufen Sie größer machen?

Viele Menschen bestehen darauf, jeden Tag zu lauf...

Diskussion über WeChats O2O-Weg nach dem Zusammenbruch der Dingdong-Community

Dieser Artikel „Heart of Rock“ bringt mehrere kon...

Lao Duan sagte: Intranet OTT ist nur ein Traum

Im Jahr 2013 wurde das Medienmodell des Internet-...