Amaya Toman Nos últimos tempos, devido à falta de segurança, os dados confidenciais da Apple e de outras grandes empresas quase se tornaram públicos. A culpa é uma má configuração do armazenamento em nuvem da Box, que permitiu que pessoas não autorizadas acessassem dados sensíveis. O bug foi descoberto por pesquisadores de segurança.
Os provedores de serviços em nuvem geralmente promovem a segurança de seu armazenamento junto com a facilidade de compartilhamento dos dados armazenados. A colocação de dados nos servidores destes serviços acarreta sempre um certo risco da sua descoberta e utilização indevida, por mais que os operadores tentem protegê-los. Também pode acontecer que os assuntos sensíveis se tornem públicos sem o crédito de terceiros.
Poderia ser Interessa você
David Hanak Pesquisadores da Adversis recentemente eles descobriram, que os dados de alguns dos principais clientes da Box Enterprise estão em risco. O TechCrunch informou que pelo simples uso da função de compartilhamento, os dados mencionados ficavam expostos à possibilidade de divulgação. Eram literalmente centenas de milhares de documentos e TB de dados de centenas de clientes importantes que usavam o serviço Box.
O problema era a forma como os arquivos podiam ser compartilhados por meio de links em domínios personalizados. Depois que os funcionários da Adversis descobriram o link, foi fácil para eles aplicar força bruta em outros links secretos no subdomínio.
Poderia ser Interessa você
Segundo Adversis, a Box aconselhou os administradores de contas a configurar links compartilhados para que apenas pessoas de dentro da empresa possam acessá-los. Desta forma, a sua exposição ao público deveria ser evitada.
Segundo Adveris, os dados que poderiam facilmente tornar-se públicos e, portanto, utilizados indevidamente incluíam, por exemplo, fotos de passaporte, números de contas bancárias, números de segurança social ou vários dados financeiros e de clientes. No caso da Apple, tratava-se especificamente de pastas contendo “dados internos não confidenciais”, como listas de preços ou arquivos de log.
Outras empresas cujos dados armazenados no Box foram potencialmente comprometidos incluem Discovery, Herbalife, Pointcate, bem como a própria Box. Todas as empresas citadas já tomaram as medidas necessárias para corrigir o erro.
