I dati di varie aziende su account Box pubblicamente accessibili

Individuata una vulnerabilità in Box, il servizio cloud di content management e file sharing per le aziende. Anche alcuni dati di Apple tra quelli accessibili ma per fortuna cartelle con dati interni non sensibili relativi a log e listini prezzi regionali.

Box

Ricercatori specializzati in sicurezza informatica hanno individuato decine di aziende che hanno inavvertitamente condiviso dati sensibili aziendali o relativi a clienti perché membri dello staff di queste hanno condiviso pubblicamente link a file presenti nei loro account aziendali di storage, elementi che potevano essere facilmente intercettati.

A individuare il problema è stata Adversis, azienda specializzata in cybersicurezza, scoprendo che molte aziende del mondo IT e grandi multinazionali hanno inavvertitamente lasciato esposti dati.

I dati memorizzati negli account aziendali di Box, spiega TechCrunch, sono per loro natura privati; gli utenti possono ad ogni modo condividere file e cartelle con chiunque, rendendoli pubblicamente accessibili con un singolo link. Adversis riferisce che terze parti possono individuare link che dovrebbero teoricamente rimanere segreti. Usando uno script per scandagliare elenchi di account Box aziendali e caratteri jolly, Adversis ha individuato oltre 90 aziende con cartelle pubblicamente accessibili.

Neanche lo staff di Box stesso è immune dal problema. L’azienda riferisce che alcuni dati sono legittimamente pubblici, suggerisce come minimizzare i rischi ed evidenzia come molto dipendenti di aziende non si rendono conto di dati sensibili che stanno condividendo con altri. In un post sul blog aziendale, Adversis suggerisce a chi usa account Box di riconfigurare l’accesso di default attivando l’opzione che permette di condividere i dati solo con persone che lavorano nella stessa azienda.

Esempio Box

Tra i dati individuati da Adversis, ci sono: foto di passaporti, numeri di conto corrente, numeri di previdenza sociale, password, elenchi di dipendenti, dati finanziari come fatture e ricevute, ma anche dati di clienti. Adversis ha da tempo avvisato Box ma riferisce che a tutt’oggi poco è stato fatto per migliorare la situazione.

Tra gli account box con dati sensibili, sono stati scoperti intere cartelle di documenti appartenenti a Singapore Airlines, al network televisivo Discovery, all’azienda di consulenza e comunicazione Edelman, a Herbalife (azienda che opera nel settore alimentatore, del controllo del peso e della cura della pelle) e altre ancora. Per quanto riguarda Apple, sono state individuate cartelle con dati interni non sensibili relativi a log e listini prezzi regionali.

Nel 2015 il CEO di Apple, Tim Cook, ha preso parte alla conferenza BoxWorks 2015, evento dedicato al mondo delle imprese.