Bedrijven lekken gegevens via verkeerd ingestelde Box-accounts

Bedrijven die gebruik maken van cloudopslagdienst Box kunnen  per ongeluk interne bestanden, gevoelige documenten of eigen technologie hebben blootgesteld aan het internet. Veel Box-accounts hebben de standaardinstelling voor het delen van bestanden niet ingesteld op ‘mensen in uw bedrijf’, waardoor de links toegankelijk zijn voor iedereen.

Het cyberbeveiligingsbedrijf Adversis ontdekte de fout afgelopen jaar. De onderzoekers constateerden ook dat de koppelingen naar bestanden eenvoudig via een woordenboekaanval kunnen worden achterhaald bij bedrijven die toestaan om vanity-url’s te gebruiken in plaats van willekeurige tekens.

Adversis nam zelf de proef op de som door Box te scannen op accounts van grote bedrijven. Vervolgens probeerde het om vanity-URL’s van bestanden of mappen te raden, die medewerkers in het verleden hadden gedeeld. 

Gevoelige data

Adversis publiceerde deze week de resultaten van dat onderzoek, die er niet om liegen. Zo vond het bedrijf zeer gevoelige data, waaronder honderden paspoortfoto’s, socialsecurity- en bankrekeningnummers, prototype- en ontwerpbestanden, werknemerslijsten, financiële gegevens, facturen, interne issuetrackers, klantenlijsten, archieven van jarenlange interne vergaderingen, IT-gegevens, VPN-configuraties en netwerkdiagrammen.

Over hoeveel gevoelige bestanden er per ongeluk publiekelijk via Box-accounts zijn gepubliceerd is niets bekend.

Instellingen aanpassen

De meeste lekken die Adversis heeft ontdekt, zijn ondertussen gedicht. Box informeerde vorig jaar zijn gebruikers al over het gebruik en de gevolgen van onjuiste toegangsmachtigingen.

“We bieden bedrijven admin-tools om verschillende rapporten over open koppelingen in hun onderneming uit te voeren en om open en aangepaste url’s voor hun onderneming uit te schakelen. Beheerders kunnen er ook voor zorgen dat ‘mensen in uw bedrijf’ de standaardinstelling is voor alle gedeelde links. Dit beperkt het potentieel voor een gebruiker om een bestand onbedoeld openbaar te maken”, aldus een woordvoerder van Box in een reactie aan ZDNet.

Of er sinds september vorig jaar minder bestanden publiek toegankelijk zijn, kan Box niet bevestigen. Het bedrijf laat weten daar zelf niet pro-actief op te scannen, maar bedrijven waar nodig op verzoek daarbij wel ondersteuning te bieden. 

Veiligheidsonderzoeker Robbie Wiggins verwacht de aankomende dagen een toename van het aantal publieke scans op Box-url’s, nu Adversis de code daarvoor heeft vrijgegeven op GitHub. Wiggins beweert na een scan 2.900 bedrijven te hebben geïdentificeerd die gebruik maken van Box, maar tot nu toe heeft hij geen bestanden gevonden die openlijk zichtbaar zijn voor het publiek.

Lees ook: Box integreert content in Salesforce-platform Quip