Apple est l'une des plus de 90 entreprises dont les données internes ont été volées par des pirates informatiques en raison de problèmes avec la plateforme Box, utilisée par de nombreuses personnes. Il semble que le principal problème résidait dans le système qui permettait le partage public de liens vers certains fichiers non publics au sein de Box, la situation étant très grave.
Des centaines de milliers de documents internes de plusieurs dizaines d'entreprises ont été découverts par les chercheurs qui ont analysé le problème Box, plusieurs To de données étant accessibles au public. Nous parlons ici de photos de passeports d'employés, de CNP et d'IBAN, de croquis de prototypes de produits non lancés, de listes d'employés, de données comptables, de listes de clients, de données d'accès aux réseaux internes et bien plus encore.
Pomme. Données de l'entreprise VOLÉES par des pirates informatiques
Dans le cas de ceux d'Apple, les données volées n'étaient pas très importantes, mais d'autres sociétés avaient accès à de nombreuses informations qui n'auraient pas dû parvenir aux pirates. Le problème a été découvert par des chercheurs en sécurité informatique vers le mois de septembre, et ceux de Box ont été informés de son existence, mais à part Apple et quelques autres sociétés, rares sont ceux qui ont sécurisé leurs comptes.
Les chercheurs en sécurité ont découvert que des dizaines d'entreprises divulguaient par inadvertance des données sensibles d'entreprise et de clients parce que le personnel partageait des liens publics vers des fichiers de leurs comptes de stockage d'entreprise Box qui peuvent être facilement découverts. Bien que les données stockées dans les comptes d'entreprise Box soient privées par défaut, les utilisateurs peuvent partager des fichiers et des dossiers avec n'importe qui, rendant les données accessibles publiquement avec un seul lien. Mais Adversis a déclaré que ces liens secrets pouvaient être découverts par d’autres. À l’aide d’un script pour rechercher et répertorier les comptes Box avec des listes de noms d’entreprises et des recherches génériques, Adversis a trouvé plus de 90 entreprises avec des dossiers accessibles au public.
Box s'est retrouvé dans cette situation car il n'avait pas pensé à un système qui rendrait les liens de fichiers publics très difficiles à découvrir, même dans le cas d'attaques de type dictionnaire. L'entreprise a déclaré qu'elle modifierait ses systèmes de sécurité afin que ses clients ne puissent plus accéder facilement à leurs données par des pirates informatiques, mais il reste à voir ce qui se passera à l'avenir.
