O Box é um sistema de gestão de Cloud como os buckets do AWS S3, para gerir e aceder dados.
Este tipo de serviço permite que ficheiros na Cloud sejam partilhados em diversas entidades através de links.
Uma breacha de informação (data leak) não é devido a um bug ou uma vulnerabilidade. O problema aqui resida numa má configuração da conta de utilizador onde os ficheiros partilhados na Cloud estão disponíveis.
No momento da criação dos links para os ficheiros, os utilizadores não definiram as permissões corretas, restringindo p.ex., o acesso aos ficheiros apenas para pessoas da empresa.
Ao inves, foram atribuída permissões de acesso público, o que quer dizer que qualquer indíviduo poderá aceder ao conteúdo.
A empresa de segurança Adversis, identificou milhares de sub-domínios de clientes da Box através das suas técnicas padrão de varrimento de informações na Internet, e descobriu centenas de milhares de documentos e terabytes de dados expostos em centenas de clientes.
A sampling of data we found:
- Hundreds of Passport Photos
- Social Security and Bank Account Numbers
- High profile technology prototype and design files
- Employees lists
- Financial data, invoices, internal issue trackers
- Customer lists and archives of years of internal meetings
- IT data, VPN configurations, network diagrams
“we intended to reach out to all the companies affected but we quickly realized that was impossible at this scale. We alerted a number of companies that had highly sensitive data exposed, reached out directly to Box.”
Este problema consegue ser mais periogo do que o problema relacioando com o acesso público relativo aos buckets do S3, porque este último tem nomes longos e difíceis de adivinhar. Já o BOX usa nomes menos longos, como o exemplo em seguida.
https://[.]app.box[.]com/v/<file/foldername
Os administradores devem configurar os shared links como “Peolo in your company” por padrão. Dessa forma, sempre que um novo conteúdo for carregado ou criado algum bucket, essas serão as permissões associadas por padrão.
If your company is using #Box with custom domain, try brute-forcing /v/path (https://t.co/RcF6wWtXSx). There could be a lot of confidential data exposed. #BugBounty #Security
— Nenad Zaric (@destructiones) June 7, 2018
Mais detalhes sobre a investigação aqui.