아마야 토만 최근에는 취약한 보안으로 인해 Apple 및 기타 대기업의 기밀 데이터가 거의 공개될 뻔했습니다. 결함은 Box 클라우드 스토리지의 잘못된 구성으로 인해 승인되지 않은 사람이 민감한 데이터에 액세스할 수 있게 되었습니다. 이 버그는 보안 연구원에 의해 발견되었습니다.
클라우드 서비스 제공업체는 일반적으로 저장된 데이터를 쉽게 공유할 수 있다는 점과 함께 스토리지 보안을 강조합니다. 이러한 서비스의 서버에 데이터를 배치하면 운영자가 아무리 데이터를 보호하려고 노력하더라도 항상 데이터 발견 및 오용의 위험이 따릅니다. 민감한 정보가 제3자의 신용 없이 공개되는 경우도 발생할 수 있습니다.
그것은 수 관심을 가져라
데이비드 하낙 Adversis의 연구원들은 최근 그들은 알아냈다, Box Enterprise의 주요 고객 중 일부의 데이터가 위험에 처해 있음을 알려드립니다. TechCrunch는 단순히 공유 기능을 사용하는 것만으로도 언급된 데이터가 공개 가능성에 노출되었다고 보도했습니다. 이는 Box 서비스를 사용하는 수백 명의 중요한 고객으로부터 얻은 말 그대로 수십만 개의 문서와 TB의 데이터였습니다.
문제는 사용자 정의 도메인의 링크를 통해 파일을 공유할 수 있는 방식이었습니다. Adversis 직원이 링크를 발견한 후에는 하위 도메인의 다른 비밀 링크를 무차별 대입 공격하는 것이 쉬웠습니다.
그것은 수 관심을 가져라
Adversis에 따르면 Box는 계정 관리자에게 회사 내의 사람들만 액세스할 수 있도록 공유 링크를 구성할 것을 권고했습니다. 이런 식으로 대중에게 노출되는 것을 피해야했습니다.
Adveris에 따르면 쉽게 공개되어 오용될 수 있는 데이터에는 여권 사진, 은행 계좌 번호, 주민등록번호 또는 다양한 금융 및 고객 데이터가 포함됩니다. Apple의 경우 가격 목록이나 로그 파일과 같은 "민감하지 않은 내부 데이터"가 포함된 폴더였습니다.
Box 저장소의 데이터가 잠재적으로 손상되었을 수 있는 다른 회사로는 Discovery, Herbalife, Pointcate 및 Box 자체가 있습니다. 언급된 모든 회사는 이미 오류를 수정하는 데 필요한 조치를 취했습니다.
