Populær tjeneste til online-storage blottede links til data i søgemaskinerne

Google havde travlt med at indeksere links til bruger-konti hos Box.com. Fantastisk for de it-kriminelle, lyder det fra en sikkerhedsekspert.

"Simpel, sikker fildeling og samarbejde fra hvor som helst."

Sådan lyder salgssloganet hos Box.com, en af de populære tjenester til online-storage og fildeling.

Nu er Box.com dog havnet i lidt af en sikkerheds-pine, efter at en sikkerhedsekspert har sat fokus på, at Box.com ikke har haft godt nok styr på beskyttelsen af brugernes data.

Til Kaspersky Labs medie, Threatpost, fortæller sikkerhedsekspert Markus Neis fra Swisscom, at en bug i måden, Box.com håndterer brugerkonti på, betød, at man via simple søgninger i Google eller Bing kunne finde fortrolige data fra Box.com-konti, der var sat op til at der skulles samarbejdes om data og filer.

Ifølge Threatpost fandt Markus Neis via søgemaskinerne officielle invitationer til 'samarbejde' fra over 10.000 offentlige Box.com-konti - og heriblandt indeholdt en række af dem følsomme data, der var markeret som 'fortroligt'.

Problemerne er opstået, når Box.com-brugere har sendt invitationer til andre for at give dem adgang til filer og mapper med henblik på samarbejde.

Godt nok sendes der så en unik URL til modtageren, men samtidig genererer Box.com automatisk en landing page - og denne har eksempelvis Google så nået at indeksere, så invitations-links i stort antal florerede i søgemaskinerne.

Kan misbruges til malware
Markus Neis forklarer til Threatpost, hvorfor det er et problem:

"Fra en angribers perspektiv er det fantastisk. Ikke alene opnås adgang til følsomme informationer, det åbner også døren til social engineering-angreb."

"Angribere kan uploade deres egen malware til et Box.com-projekt, indentificere mål til medarbejder-phishing via email-adresser og simpelthen hoste malware og dele linket. Pludselig er din virksomheds Box.com-konto kendt for at distribuere malware."

Ifølge Threatpost har Box.com nu ændret måden, som tjenesten håndterer offentligt delte konti og mapper på.

"Vi har kontaktet Google for at få fjernet disse offentlige links fra indekset. Det bør være sket om kort tid. Vi har ændret alle disse sider for at sikre at vores links til samarbejde ikke indekseres af Google fremadrettet."

Selvom tjenesterne til online-storage og samarbejde generelt har en høj sikkerhed, er det ikke første gang, at en tjeneste havner i problemer.

Sidste år var det eksempelvis Dropbox, der måtte bede alle brugerne om at skifte adgangskode på grund af et sikkerhedsproblem. Læs mere om det her:

Dropbox sender klart krav til brugerne: Derfor skal gamle adgangskoder ændres nu

Dropbox har mistet oplysninger om 68 millioner brugerkonti: Er du blevet ramt?




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Microsofts løsninger: Mod den store digitale transformation

Vi er for fuld fart i gang med den store digitale transformation, der med smarte it-systemer kommer til at ændre en meget stor del af vores processer, produktion og måde at arbejde på. På denne konference vil du kunne høre om de seneste bud på it-systemer, der i Microsoft-universet understøtter kursen mod den digitale transformation og smart it-udnyttelse.

28. februar 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

01. marts 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

08. marts 2017 | Læs mere






CIO
It-chef i dybet: "Hele vores it-infrastruktur er jo bygget op fra bunden, og alt - inklusive mig selv - forsvinder jo, når vi er færdige i 2018"
Interview: Martin Lauritsen er it-chef på Metro-byggeriet i København, hvor han skal holde internettet i gang og industrispioner ude af 22 byggepladser i hovedstaden. Det er noget af en opgave.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Case: Uafhængig rådgivning bragte uventet navn på banen for Icopal
Icopal lyttede til uafhængig rådgivning fra Kompetera, og det bragte et uventet navn inden for storage på banen, da man skulle udskifte det gamle storagesystem.