ثغرة امنية في الروابط المشاركة في بوكس انتربرايس Box Enterprise  تسرب معلومات حساسة


حذر باحثون في شركة ادفيرسيس لأمن المعلومات  Adversis Security من أن الروابط المشاركة في بوكسBox  يمكن أن تسرب معلومات حساسة إذا لم يقتصر الوصول إليها على المستخدمين المعنيين فقط.

تحصل جميع الشركات التي تستخدم التخزين السحابي في بوكس  Box على نطاق فرعي sub-domain خاص بها ، كما تتيح الخدمة أيضًا مشاركة المستندات المخزنة على بوكس بسهولة عبر عناوين محدد موقع الموارد المُوحّدURL   الفريدة. على الرغم من ذلك ، من السهل إلى حد ما تنفيذ هجوم القوة العمياء brute-force على النطاق الفرعي وعنوان URL  المشارك وأسماء المجلدات ، كما اكتشف الباحثون.

المشكلة ليست جديدة وتم الإبلاغ عنها في الماضي ، لكنها تظل مشكلة ، على الأقل إذا لم يتم اعداد خيارات  الوصول بشكل صحيح. يمكن تعيين خيارات الوصول إلى الروابط المشاركة في بوكس إلى أي شخص لديه الرابط أو المستخدمين تحت حساب  بوكس انتربرايس Box Enterprise أو مع الحسابات في النطاق الفرعي أو فقط للمستخدمين الذين تمت دعوتهم إلى مجلد او ملف .

بدون اعدادات صحيحة للوصول ، يمكن أن يتم كشف الكثير من المعلومات الحساسة للإنترنت ، وهذا ما اكتشفته شركة ادفيرسيس بالضبط.

يقول الباحثون: “بعد تحديد الآلاف من النطاقات الفرعية لزبائن بوكس من خلال التقنيات القياسية لجمع المعلومات الاستخبارية واستخدام قائمة كلمات كبيرة نسبيًا ، اكتشفنا مئات الآلاف من الوثائق وتيرابايتات من البيانات التي تم كشفها والخاصة بمئات الزبائن”.

على الرغم من أن معظم البيانات كانت عامة ، فقد شمل بعضها معلومات حساسة مثل نسخ جوازات السفر وارقام الضمان الاجتماعي وأرقام الحسابات المصرفية وملفات نماذج اولية وتصاميم خاصة لتقنيات عالية الحساسية وقوائم موظفين وبيانات مالية وفواتير وملفات متابعة المشاكل الداخلية وقوائم الزبائن واراشيف لسنوات من الاجتماعات الداخلية وبيانات تقنية المعلومات واعدادات الشبكات الافتراضية الخاصة الفي بي ان  VPN و مخططات لشبكات الكومبيوتر.

ويقول الباحثون إن العدد الكبير للشركات المتأثرة جعل من المستحيل إخطارهم جميعًا. ومع ذلك ، نظرًا لأن بعض الشركات لديها آلاف من المستندات الحساسة التي يمكن لأي شخص الوصول إليها ، فإن ادفيرسيس أبلغت فقط أولئك الذين لديهم بيانات مكشوفة شديدة الحساسية.

تم إعلام شركة بوكس بالمشكلة أيضًا ، كما قامت الشركة بتحديث إرشاداتها للتأكيد على حقيقة أن الروابط المشاركة المعدلة Custom Shared Links يمكن لها أن تكشف معلومات حساسة ، نظراً إلى أن أي شخص قادر على تخمين عنوان الرابط URL يمكنه الوصول إلى المحتوى.

لتقليل الإنشاء الغير مقصود للروابط العامة ، توصي بوكس بتقييد الوصول إلى الروابط المشاركة للمستخدمين داخل شركاتهم فقط ، والتتبع المستمر للروابط المشاركة العامة ، وتجنب إنشاء روابط مشاركة  عامة لمحتوى غير مخصص للأستخدام العام.

ونشر باحثو الأمان الرقمي أيضًا على شفرة برمجية على موقع كيت هب GitHub  تجعل من السهل العثورعلى حسابات بوكس للشركات والبحث فيها عن  اي محتوى مكشوف.

 

 

 

المصدر:

https://www.securityweek.com/box-enterprise-shared-links-leak-sensitive-information

 

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: