» » Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

 

Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

Автор: admin от 12-03-2019, 09:20, посмотрело: 342

Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.



Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д

Всего было найдено более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

открытые облачные хранилища Amazon, про это я писал отдельную заметку. Только стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним, должно было гарантироваться невозможностью посторонним узнать URL (классика жанра — security through obscurity).



Некоторые компании, в чьих Box-аккаунтах были найдены данные:




  • Apple — региональные прайс-листы на продукцию и какие-то логи.

  • Система бронирования авиабилетов Amadeus — документы и файлы, связанные с авиакомпанией Singapore Airlines.

  • Телеканал Discovery — база данных с миллионами имен и адресов электронной почты клиентов, а также контракты и налоговые документы.

  • Американская PR-компания Edelman — резюме с персональными данными кандидатов на должности.

  • Herbalife — файлы электронных таблиц с именами, телефонами и адресами электронной почты клиентов (всего около 100 тыс.).

  • Schneider Electric — документация на проекты, содержащая в том числе, пароли доступа к оборудованию.

  • Собственно, сама компания Box — соглашения о неразглашении с клиентами.



Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox

Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt

Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».



Источник: Хабр / Интересные публикации

Категория: Компании

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *