Amaya Toman Pastaruoju metu dėl prasto saugumo „Apple“ ir kitų didelių kompanijų konfidencialūs duomenys vos nepateko į viešumą. Gedimas yra netinkama „Box“ debesies saugyklos konfigūracija, dėl kurios pašaliniai asmenys galėjo pasiekti slaptus duomenis. Klaidą aptiko saugumo tyrinėtojai.
Debesijos paslaugų teikėjai paprastai pabrėžia savo saugyklos saugumą ir lengvą dalijimąsi saugomais duomenimis. Duomenų talpinimas į šių paslaugų serverius visada kelia tam tikrą jų aptikimo ir netinkamo naudojimo riziką, nepaisant to, kiek operatoriai stengiasi juos apsaugoti. Gali nutikti ir taip, kad jautrūs iškyla į viešumą be trečiosios šalies kredito.
Tai gali būti jus domina
Davidas Hanakas „Adversis“ mokslininkai neseniai jie sužinojo, kad kai kurių pagrindinių „Box Enterprise“ klientų duomenims kyla pavojus. „TechCrunch“ pranešė, kad vien naudojant dalijimosi funkciją, minėti duomenys buvo atskleisti. Tai buvo šimtai tūkstančių dokumentų ir TB duomenų iš šimtų svarbių klientų, naudojančių „Box“ paslaugą.
Problema buvo tai, kaip failai gali būti bendrinami naudojant nuorodas tinkintuose domenuose. Kai „Adversis“ darbuotojai atrado nuorodą, jiems buvo nesunku žiauriai priverstinai panaudoti kitas slaptas subdomeno nuorodas.
Tai gali būti jus domina
„Adversis“ teigimu, „Box“ patarė paskyros administratoriams sukonfigūruoti bendrinamas nuorodas, kad tik įmonės darbuotojai galėtų jas pasiekti. Tokiu būdu turėjo būti išvengta jų poveikio visuomenei.
„Adverio“ teigimu, tarp duomenų, kurie galėjo lengvai tapti vieši ir tokiu būdu piktnaudžiauti, buvo, pavyzdžiui, pasų nuotraukos, banko sąskaitų numeriai, socialinio draudimo numeriai ar įvairūs finansiniai ir klientų duomenys. „Apple“ atveju tai buvo būtent aplankai, kuriuose yra „neskelbtini vidiniai duomenys“, pvz., kainoraščiai arba žurnalo failai.
Kitos įmonės, kurių duomenys Box saugykloje buvo potencialiai pažeisti, yra „Discovery“, „Herbalife“, „Pointcate“ ir pati „Box“. Visos minėtos įmonės jau ėmėsi reikalingų veiksmų klaidą ištaisyti.
