Apple jest jedną z ponad 90 firm, których dane wewnętrzne zostały wykradzione przez hakerów z powodu problemów z platformą Box, z której korzysta wiele osób. Wydaje się, że główny problem tkwił w systemie, który pozwalał na publiczne udostępnianie linków do niektórych niepublicznych plików w Boxie, a sytuacja była bardzo poważna.
Badacze analizujący problem z Boxem odkryli setki tysięcy dokumentów wewnętrznych kilkudziesięciu firm, a kilka TB danych było publicznie dostępnych. Mowa tu o zdjęciach paszportów pracowników, numerach CNP i IBAN, szkicach prototypów niewdrożonych produktów, listach pracowniczych, danych księgowych, listach klientów, danych dostępowych do sieci wewnętrznych i wielu innych.
Jabłko. Dane firmy SKRADZIONE przez hakerów
W przypadku tych od Apple skradzione dane nie były bardzo istotne, ale inne firmy miały dostęp do wielu informacji, które nie powinny były trafić do hakerów. Problem został odkryty przez badaczy bezpieczeństwa komputerowego mniej więcej we wrześniu, a ci z Boxa zostali powiadomieni o jego istnieniu, ale poza Apple i kilkoma innymi firmami, niewielu zabezpieczyło swoje konta.
Badacze bezpieczeństwa wykryli, że dziesiątki firm nieumyślnie ujawniają poufne dane firmowe i klientów, ponieważ pracownicy udostępniają publiczne łącza do plików na swoich kontach Box Enterprise Storage, które można łatwo wykryć. Chociaż dane przechowywane na kontach Box Enterprise są domyślnie prywatne, użytkownicy mogą udostępniać pliki i foldery wszystkim, udostępniając je publicznie za pomocą jednego łącza. Ale Adversis powiedział, że te tajne linki mogą zostać odkryte przez innych. Używając skryptu do wyszukiwania i wyświetlania kont Box z listami nazw firm i wyszukiwania wieloznacznego, Adversis znalazł ponad 90 firm z publicznie dostępnymi folderami.
Box znalazł się w takiej sytuacji, ponieważ nie pomyślał o systemie, który bardzo utrudniałby wykrycie publicznych linków do plików, nawet w przypadku ataków typu słownikowego. Firma oświadczyła, że zmodyfikuje swoje systemy bezpieczeństwa, aby hakerzy nie mieli już łatwego dostępu do swoich danych klientów, ale okaże się, co stanie się w przyszłości.
