Noto’g’ri konfiguratsiya qilingan Box hisoblari o’nlab kompaniyalarning ma’lumotlari sizib chiqishiga olib keldi.
Jabrlanganlar orasida Amadeus, Apple, Herbalife, Schneider Electric va hatto Boxning o’zi ham bor edi.
Box.com bulut xizmatidagi noto’g’ri konfiguratsiya qilingan akkauntlar Amadeus, Apple, Herbalife, Schneider Electric, Discovery Channel va hatto Boxning o’zi kabi o’nlab yirik kompaniyalardan maxfiy ma’lumotlar va biznes hujjatlarining sizib chiqishiga olib keldi. Oqishni aniqlagan Adversis xavfsizlik tadqiqotchilarining so’zlariga ko’ra, muammo Box Enterprise akkaunt egalarining fayl/papka havolalarini almashish sozlamalarida «Kompaniyangizdagi odamlar» opsiyasini yoqmaganligidan kelib chiqadi. Natijada, yashirin bo’lishi kerak bo’lgan barcha yangi havolalar ommaga ochiq bo’ldi. Maxsus skript yordamida tadqiqotchilar ommaga ochiq papkalarga ega 90 dan ortiq kompaniyalarni aniqladilar. Asbob GitHub-da nashr etilgan.
Papkalarda pasport fotosuratlari, ijtimoiy ta’minot raqamlari, parollar, VPN sozlamalari, kompaniya xodimlari ro’yxatlari, moliyaviy ma’lumotlar (schyot-fakturalar, kvitansiyalar, hisob raqamlari va boshqalar), millionlab mijozlarning ismlari va elektron pochta manzillari ko’rsatilgan ma’lumotlar bazalari, shartnomalar, mulkiy texnologiyalar haqidagi ma’lumotlar va boshqa ichki hujjatlar kabi turli xil ma’lumotlar mavjud edi. Masalan, Schneider Electric papkalarida o’nlab mijozlar buyurtmalari, shuningdek, tizimlar uchun o’rnatish ko’rsatmalari, jumladan, standart parollar va mijozlar parollarini unutib qo’ygan taqdirda orqa eshiklar mavjud edi.
Mutaxassislar zarar ko’rgan kompaniyalarni ma’lumotlarning o’g’irlanishi haqida xabardor qilishdi. Amadeus, Apple, Box, Discovery, Herbalife, Edelman va PointCare allaqachon o’zlarining korporativ akkauntlaridagi sozlamalarni o’zgartirdilar. Box.com akkaunt egalariga akkaunt konfiguratsiyalarini ko’rib chiqish va ularni ommaga ochiq havolalar uchun tahlil qilish tavsiya etiladi.
