Некорректно настроенные аккаунты в сервисе Box привели к утечке данных десятков компаний

Некорректно сконфигурированные учетные записи в облачном сервисе Box.com стали причиной утечки конфиденциальных данных и деловой документации десятков крупных компаний, в том числе Amadeus, Apple, Herbalife, Schneider Electric, телеканала Discovery и даже самой Box.

По словам специалистов ИБ-компании Adversis, обнаруживших утечку, проблема заключается в том, что владельцы учетных записей Box Enterprise не выставили в настройках обмена ссылками на файлы/папки параметр «People in your company», в результате все новые ссылки, которые по идее должны быть скрытыми, оказались в публичном доступе. С помощью специального скрипта исследователи выявили более 90 компаний с общедоступными папками. Инструмент опубликован на портале GitHub.

Папки содержали различную информацию, в том числе паспортные фотографии, номера социального страхования, пароли, настройки VPN, списки сотрудников предприятий, финансовую информацию (счета-фактуры, квитанции, номера счетов и пр.), базы данных с именами и электронными адресами миллионов клиентов, контракты, сведения о проприетарных технологиях и другую внутреннюю документацию. К примеру, папки Schneider Electric содержали десятки заказов клиентов, а также инструкции по установке систем, включая дефолтный пароль и «бэкдоры» на случай, если клиенты забыли пароли.

Специалисты проинформировали затронутые компании об утечке данных. Amadeus, Apple, Box, Discovery, Herbalife, Edelman и PointCare уже изменили настройки в своих корпоративных учетных записях. Владельцам аккаунтов в сервисе Box.com настоятельно рекомендуется проверить конфигурацию учетных записей и провести анализ на предмет публично доступных ссылок.