Una configuración incorrecta expone datos de cuentas de Box

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Empresas que utilicen Box.como como sistema para compartir y almacenar información en la nube podrían estar exponiendo archivos internos y documentos sensibles sin darse cuenta. Lo advierte la firma de seguridad Adveris, a través de un post que titula: “Otra nueva manera de perder tus datos sensibles”.

Y como ocurre demasiado a menudo, todo se debe a un error humano, a una configuración incorrecta. Los datos almacenados en una cuenta empresarial de Box son privados por defecto, pero los usuarios tienen la habilidad de compartir archivos con cualquiera a través de un enlace públicamente accesible. Lo que Adveris ha descubierto es que esos enlaces puedes ser descubiertos fácilmente.

Explica Adveris, que está trabajando con Box y las compañías afectadas para solucionar el problema, que el mismo radica en los propietarios de cuentas de Box.com que no establecen un nivel de acceso por defecto de “Personas en tu empresa” para los enlaces de intercambio de archivos y carpetas, dejando todos los enlaces de reciente creación accesibles al público.

Explica la compañía que después de identificar miles de clientes de Box utilizando diferentes técnicas, ha descubierto cientos de miles de documentos, terabytes de datos expuestos. Entre la información detectada: cientos de fotos de pasaportes; números de cuentas de banco y la Seguridad Social; listas de empleados; datos financieros, incluidas facturas; diseños y prototipos tecnológicos; listas de clientes e información de años de reuniones internas; diagramas de red y configuraciones VPN.

La firma encontró más de 90 compañías con carpetas de acceso público después de usar un script para buscar cuentas de Box con una lista de nombres de compañías. “Inicialmente, intentamos llegar a todas las empresas afectadas, pero rápidamente nos dimos cuenta de que era imposible a esta escala. Un gran porcentaje de las cuentas de clientes de Box que probamos tenía miles de documentos confidenciales expuestos. Alertamos a varias compañías que tenían datos altamente confidenciales expuestos, contactamos directamente a Box y publicamos este artículo”, dice Adveris.