1. 事件概述
近日,知名在线数据管理网站 BOX.COM 被曝存在文件共享安全风险,导致许多企业的部分机密数据和文件能够被谷歌、必应等搜索引擎直接检索并访问。
威胁情报人员 Markus Neis 指出,BOX 在处理云存储账户时存在缺陷。攻击者仅需使用搜索引擎,就可以轻松发现并访问企业或个人在“云协作”功能下存储的敏感数据。受影响企业中包括戴尔科技集团等大型公司。
2. 问题根源
BOX 除了提供文件存储与同步,还提供多人共享文件和数据的 “云协作”功能。其机制如下:
- 用户在共享文件时,系统会自动生成一个 URL 链接。
- 任何人只要持有该链接,就可以进入共享目录。
- 关键问题在于,这些共享页面 会被搜索引擎收录并检索。
因此,攻击者只需在搜索引擎中输入特定关键词,即可检索到大量企业的共享链接,其中不乏带有“机密”、“隐私”等字样的敏感文件。
3. 风险与攻击方式
- 敏感数据泄露:攻击者能够直接访问存储在“云协作”中的机密文件。
- 恶意软件上传:由于默认权限设置,持有链接的访问者可能具备上传、下载、编辑和重命名权限,攻击者可以上传恶意文件。
- 网络钓鱼:攻击者可通过协作目录中的邮箱信息,进一步邀请企业员工加入协作,从而发动钓鱼攻击。
4. BOX.COM 官方回应
BOX.COM 表示:
- 这些页面出现在搜索引擎中,是因为 账户持有人在第三方网站主动共享。
- 已与谷歌沟通,要求删除相关索引,预计短期内即可完成。
- 已重新生成所有分享链接,确保未来不会再被搜索引擎公开展示。
- 将持续评估共享链接的 权限模型,以兼顾安全性与功能性。
- 强调受影响的链接数量并不多。
5. 受影响企业与后续进展
- 戴尔科技公司:确认少量信息在短时间内被“意外的人”看到,但目前问题已解决。
- Discovery Communications:曾被发现大量文件和视频项目文件可被检索,但目前所有链接均已失效,该公司未对此置评。
外媒 Threatpost 曾检索到一些文件,文件名中包含“机密”、“私有”等字样,其中涉及戴尔渠道合作伙伴数据。但截至报道发布时,这些链接已无法访问。
6. 总结与启示
此次事件表明:
- 云存储共享机制若缺乏安全约束,极易引发数据泄露风险。
- 企业应审查自身文件共享设置,避免使用公共链接分享敏感信息。
- 用户应优先使用具备访问控制与权限限制的安全共享方式。
尽管 BOX 已采取补救措施,但企业与个人用户在使用云协作工具时,仍需保持高度警惕,确保敏感信息不会因配置疏忽而暴露。