Geheime documenten bij clouddienst Box waren met een trucje toch door buitenstaanders te vinden. Daarmee was de data van tientallen grote bedrijven in te zien, zoals Apple en Discovery Channel.
Clouddienst Box geeft gebruikers toegang tot hun afgesloten map aan de hand van een deelbare link. Maar niet alleen de eigenaar van die link heeft dan toegang, ook iedereen die die link kan raden. Dat blijkt niet heel ingewikkeld, ontdekte beveiligingsbedrijf Adversis.
Het bedrijf maakte een script dat scande naar links naar Box-mappen die eigelijk privé moeten zijn. Adversis liet het script zoeken op [bedrijfsnaam].app.box.com/v/[bestandsnaam]. Door in dat standaardformaat van deelbare links maar vaak genoeg te proberen met verschillende namen van bedrijven en bestanden, kwamen er verschillende resultaten.
Apple & Discovery Channel
Adversis stuitte uiteindelijk op vooral openbare informatie, maar ook was 'een aanzienlijk deel gevoelig'. Het gaat daarbij om foto's van paspoorten, details over prototypes van techbedrijven, identificatienummers van medewerkers, financiële documenten, interne IT-data en meer.
Een gevonden map van Apple bevatte geen interne informatie. Een map van Discovery Channel wel: namen en e-mailadressen van miljoenen klanten. Van PR-bedrijf Edelman was een volledig voorstel voor het ov-bedrijf van New York inzichtelijk, voedingsbedrijf Herbalife had gedetailleerde spreadsheets met klantendata in zijn Box-map staan.
Adversis ontdekte de kwetsbaarheid vorig jaar al, waarna Box stappen kon nemen en gebruikers kon waarschuwen. Om herhaling te voorkomen moet IT-personeel vaker controleren op gedeelde links. Overige medewerkers moeten beter opletten van wat voor soort mappen zij de links delen en niet delen met mensen buiten het bedrijf.