Una configuración incorrecta expone datos de cuentas de Box
- Cloud
Cualquier empleado podría estar compartiendo enlaces privados públicamente utilizando la plataforma de almacenamiento cloud
Empresas que utilicen Box.como como sistema para compartir y almacenar información en la nube podrían estar exponiendo archivos internos y documentos sensibles sin darse cuenta. Lo advierte la firma de seguridad Adveris, a través de un post que titula: “Otra nueva manera de perder tus datos sensibles”.
Y como ocurre demasiado a menudo, todo se debe a un error humano, a una configuración incorrecta. Los datos almacenados en una cuenta empresarial de Box son privados por defecto, pero los usuarios tienen la habilidad de compartir archivos con cualquiera a través de un enlace públicamente accesible. Lo que Adveris ha descubierto es que esos enlaces puedes ser descubiertos fácilmente.
Explica Adveris, que está trabajando con Box y las compañías afectadas para solucionar el problema, que el mismo radica en los propietarios de cuentas de Box.com que no establecen un nivel de acceso por defecto de “Personas en tu empresa” para los enlaces de intercambio de archivos y carpetas, dejando todos los enlaces de reciente creación accesibles al público.
Explica la compañía que después de identificar miles de clientes de Box utilizando diferentes técnicas, ha descubierto cientos de miles de documentos, terabytes de datos expuestos. Entre la información detectada: cientos de fotos de pasaportes; números de cuentas de banco y la Seguridad Social; listas de empleados; datos financieros, incluidas facturas; diseños y prototipos tecnológicos; listas de clientes e información de años de reuniones internas; diagramas de red y configuraciones VPN.
La firma encontró más de 90 compañías con carpetas de acceso público después de usar un script para buscar cuentas de Box con una lista de nombres de compañías. “Inicialmente, intentamos llegar a todas las empresas afectadas, pero rápidamente nos dimos cuenta de que era imposible a esta escala. Un gran porcentaje de las cuentas de clientes de Box que probamos tenía miles de documentos confidenciales expuestos. Alertamos a varias compañías que tenían datos altamente confidenciales expuestos, contactamos directamente a Box y publicamos este artículo”, dice Adveris.