Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden

Kürzlich wurde festgestellt, dass der Dateifreigabemechanismus der bekannten Online-Datenverwaltungswebsite BOX.COM Sicherheitsrisiken aufwies, was dazu führte, dass einige vertrauliche Daten und Dateien vieler Unternehmen direkt von Suchmaschinen wie Google und Bing abgerufen wurden. Markus Neis, der Threat Intelligence-Forscher, der das Problem entdeckte, sagte, dass BOX.COM einen Fehler im Umgang mit Cloud-Speicherkonten aufwies, der es ermöglichte, dass durch eine einfache Suchmaschinenabfrage jeder auf vertrauliche Unternehmens- oder Privatdateien zugreifen konnte. Angreifer könnten das Problem ausnutzen, um auf in der Cloud Collaboration gespeicherte Daten zuzugreifen, darunter auch Daten mehrerer großer Unternehmen, darunter Dell Technologies. Es wird davon ausgegangen , dass die Enterprise-Netzwerkfestplatte von BOX im Ausland recht bekannt ist und in China eine gewisse Anzahl von Benutzern hat. Neben der Bereitstellung allgemeiner Dateispeicher- und Synchronisierungsfunktionen bietet es auch eine Funktion zur „Cloud-Zusammenarbeit“, mit der mehrere Personen Dateien und Daten gemeinsam nutzen können. Genau in dieser Funktion liegt das Problem. Laut Neis‘ Erklärung ermöglicht die von BOX bereitgestellte Funktion „Cloud-Zusammenarbeit“, dass Benutzer andere einladen können, Dateiverzeichnisse und Daten unter ihren Konten zu teilen. Beim Teilen von Dateien wird automatisch ein URL-Link generiert, und jeder kann über diesen Link auf das freigegebene Verzeichnis zugreifen. Das Hauptproblem besteht darin, dass die Seiten, auf die diese Links verweisen, von Suchmaschinen eingebunden und abgerufen werden können, was von Netzwerkangreifern ausgenutzt werden kann. Über Suchmaschinen wie Google und Bing hat Neis File-Sharing-Links für die „Cloud-Zusammenarbeit“ von Zehntausenden Unternehmen abgerufen, darunter auch einige sensible Geschäftsinformationen, die mit Wörtern wie „vertraulich“ und „Datenschutz“ gekennzeichnet waren. Er sagte , Angreifer könnten die Schwachstelle ausnutzen, um auf vertrauliche Daten zuzugreifen, die in der „Cloud Collaboration“ gespeichert sind, einer Funktion, die von Unternehmensmitarbeitern und Einzelbenutzern häufig für die Zusammenarbeit verwendet wird. Sobald dieser Link generiert ist, berechtigt er den Besucher standardmäßig zum Anzeigen, Herunterladen, Hochladen, Bearbeiten und Umbenennen. Neis sagte: „Wenn der Angreifer über eine Suchmaschine die Seite zur „Cloud-Zusammenarbeit“ eines Unternehmens findet, kann er Schadsoftware in das Zusammenarbeitsprojekt hochladen und dann Mitarbeiter des Unternehmens zur Teilnahme einladen oder sie nach Belieben anhand der darin enthaltenen E-Mail-Adressen verbreiten, um Phishing durchzuführen.“
BOX.COM geht aufgrund der beschriebenen Angriffsmethode davon aus, dass diese von Suchmaschinen abrufbaren Seiten von Kontoinhabern aktiv auf Websites von Drittanbietern geteilt werden und nicht durchsickern, teilte jedoch auch mit: „Wir haben Google kontaktiert, um diese öffentlichen Indizes zu löschen, und es wird erwartet, dass sie in Kürze vollständig gelöscht werden.“ Darüber hinaus haben wir alle Freigabelinks neu organisiert, um sicherzustellen, dass nachfolgende öffentliche Einladungslinks nicht in der Google-Suchmaschine angezeigt werden. BOX.COM teilte mit, dass das Unternehmen das Berechtigungsmodell für freigegebene Links weiterhin evaluieren werde, um sicherzustellen, dass das volle Potenzial der Funktion unter Wahrung der Sicherheit genutzt werden könne. Gleichzeitig betonten sie, dass die Zahl der freigegebenen Links, die den Suchmaschinen angezeigt werden, tatsächlich nicht groß sei. Das ausländische Medium Threatpost gab bekannt, dass es über Suchmaschinen einige Dateien mit den Wörtern „vertraulich“ und „privat“ in ihren Namen abgerufen hat, von denen einige relevante Daten zu den Vertriebspartnern von Dell Technologies enthielten. Dell schrieb in einer Erklärung, dass für einen kurzen Zeitraum eine begrenzte Menge an Informationen für „unbeabsichtigte Parteien“ sichtbar gewesen sei, das Problem jedoch inzwischen behoben sei. Berichten zufolge wurde bei Discovery Communications auch eine große Zahl zugehöriger Dokumente und Videoprojektdateien gefunden, allerdings sind derzeit alle Links nicht zugänglich und das Unternehmen hat sich hierzu nicht geäußert.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.

<<: Schwarzhändler für Bahntickets rüsten auf: 2G-Breitband + umfassender Verifizierungscode

>>: Yiche-Ranking: BYD ist im Januar 2025 mit insgesamt 22.915 verkauften Fahrzeugen die meistverkaufte Marke in der Provinz Guangdong

Diese Technologien stammen nicht ursprünglich von Apple, sind aber stark von Apple geprägt.

Artikel

Welttag der Ertrinkungsprävention – Kann „kopfüber hängen, um das Wasser zu kontrollieren“ Ertrinkende retten? Lesen Sie diesen Comic unbedingt, bevor Sie im Wasser spielen!

Artikel

Was genau ist Hot Yoga?

Artikel

Es besteht Erstickungsgefahr beim Verschlucken! Ihre Kinder verwenden diese Produkte möglicherweise! Schneller Selbstcheck

Artikel

Jeder Mann träumt davon, seine „kleinen Sojasprossen“ größer zu machen

China E-Commerce Research Center: Beschwerden chinesischer E-Commerce-Nutzer sanken im dritten Quartal 2012 im Vergleich zum Vormonat um 7,6 %

Artikel

Knieschmerzen beim Sport? Achten Sie auf Meniskusverschleiß! Machen Sie diese Aktionen nicht noch einmal →

Artikel

Was man essen sollte, um Muskeln aufzubauen

Artikel

Artikel empfehlen

Canalys: Chinas jährliche PC-Auslieferungen werden im Jahr 2024 39,7 Millionen Einheiten betragen, ein Rückgang von 4 % gegenüber dem Vorjahr

Aktuellen Nachrichten zufolge zeigen Daten von Ca...

Die Politik fördert die Beschleunigung der Integration der Autoteileindustrie, und der zukünftige Umfang könnte 4 Billionen Yuan übersteigen

In jüngster Zeit haben viele multinationale Autom...

Bekannte Online-Disk BOX.COM hat eine Sicherheitslücke aufgedeckt, Filesharing kann von Suchmaschinen durchsucht werden

Diese Technologien stammen nicht ursprünglich von Apple, sind aber stark von Apple geprägt.

Welttag der Ertrinkungsprävention – Kann „kopfüber hängen, um das Wasser zu kontrollieren“ Ertrinkende retten? Lesen Sie diesen Comic unbedingt, bevor Sie im Wasser spielen!

Was genau ist Hot Yoga?

Es besteht Erstickungsgefahr beim Verschlucken! Ihre Kinder verwenden diese Produkte möglicherweise! Schneller Selbstcheck

Jeder Mann träumt davon, seine „kleinen Sojasprossen“ größer zu machen

Ich esse das seit zwei Jahren und jetzt habe ich weiße Flecken im Bauch! Viele Menschen essen es als „Lebensmittel“ …

Die Vergangenheit der Spiralisten

China E-Commerce Research Center: Beschwerden chinesischer E-Commerce-Nutzer sanken im dritten Quartal 2012 im Vergleich zum Vormonat um 7,6 %

Knieschmerzen beim Sport? Achten Sie auf Meniskusverschleiß! Machen Sie diese Aktionen nicht noch einmal →

Was man essen sollte, um Muskeln aufzubauen

Artikel empfehlen

Canalys: Chinas jährliche PC-Auslieferungen werden im Jahr 2024 39,7 Millionen Einheiten betragen, ein Rückgang von 4 % gegenüber dem Vorjahr

Die Politik fördert die Beschleunigung der Integration der Autoteileindustrie, und der zukünftige Umfang könnte 4 Billionen Yuan übersteigen

Lauschen Sie dem Flüstern des fernen Universums

Über eine Billion wert! Nr. 1 in Asien! Sie haben in Guizhou vier Manganminen von Weltklasse entdeckt …

Eine Methode, die Obst 10.000 Mal besser schmecken lässt! Wenn Sie es jetzt nicht versuchen, wird es zu spät sein!

Die Rolle der Breitenaerobic

Was war zuerst da, das Huhn oder das Ei? Vielleicht waren die haarigen Dinosaurier-Eier zuerst da!

Die vom Apple iPhone X stark geförderte AR-Technologie wird dieses Jahr 20 Jahre alt, und BAT hat auch damit gespielt

Diese 4 Lebensmittel schmecken nicht salzig, haben aber einen so hohen Natriumgehalt? !

Was bedeutet das „Zhi“ in der Sommersonnenwende?

Kann Extremlauf beim Abnehmen helfen?

Kann Fitness beim Zunehmen helfen?

Exynos 7420/A8/Snapdragon 810 im Praxistest: Qualcomm kann den Kopf nicht heben!

Der Onkel wurde plötzlich nicht mehr fleißig, sondern faul, und es stellte sich heraus, dass dies der Grund dafür war …

China Automobile Dealers Association: Eine kurze Analyse des Gebrauchtwagenmarktes im Mai 2024