Populær tjeneste til online-storage blottede links til data i søgemaskinerne

Google havde travlt med at indeksere links til bruger-konti hos Box.com. Fantastisk for de it-kriminelle, lyder det fra en sikkerhedsekspert.

"Simpel, sikker fildeling og samarbejde fra hvor som helst."

Sådan lyder salgssloganet hos Box.com, en af de populære tjenester til online-storage og fildeling.

Nu er Box.com dog havnet i lidt af en sikkerheds-pine, efter at en sikkerhedsekspert har sat fokus på, at Box.com ikke har haft godt nok styr på beskyttelsen af brugernes data.

Til Kaspersky Labs medie, Threatpost, fortæller sikkerhedsekspert Markus Neis fra Swisscom, at en bug i måden, Box.com håndterer brugerkonti på, betød, at man via simple søgninger i Google eller Bing kunne finde fortrolige data fra Box.com-konti, der var sat op til at der skulles samarbejdes om data og filer.

Ifølge Threatpost fandt Markus Neis via søgemaskinerne officielle invitationer til 'samarbejde' fra over 10.000 offentlige Box.com-konti - og heriblandt indeholdt en række af dem følsomme data, der var markeret som 'fortroligt'.

Problemerne er opstået, når Box.com-brugere har sendt invitationer til andre for at give dem adgang til filer og mapper med henblik på samarbejde.

Godt nok sendes der så en unik URL til modtageren, men samtidig genererer Box.com automatisk en landing page - og denne har eksempelvis Google så nået at indeksere, så invitations-links i stort antal florerede i søgemaskinerne.

Kan misbruges til malware
Markus Neis forklarer til Threatpost, hvorfor det er et problem:

"Fra en angribers perspektiv er det fantastisk. Ikke alene opnås adgang til følsomme informationer, det åbner også døren til social engineering-angreb."

"Angribere kan uploade deres egen malware til et Box.com-projekt, indentificere mål til medarbejder-phishing via email-adresser og simpelthen hoste malware og dele linket. Pludselig er din virksomheds Box.com-konto kendt for at distribuere malware."

Ifølge Threatpost har Box.com nu ændret måden, som tjenesten håndterer offentligt delte konti og mapper på.

"Vi har kontaktet Google for at få fjernet disse offentlige links fra indekset. Det bør være sket om kort tid. Vi har ændret alle disse sider for at sikre at vores links til samarbejde ikke indekseres af Google fremadrettet."

Selvom tjenesterne til online-storage og samarbejde generelt har en høj sikkerhed, er det ikke første gang, at en tjeneste havner i problemer.

Sidste år var det eksempelvis Dropbox, der måtte bede alle brugerne om at skifte adgangskode på grund af et sikkerhedsproblem. Læs mere om det her:

Dropbox sender klart krav til brugerne: Derfor skal gamle adgangskoder ændres nu

Dropbox har mistet oplysninger om 68 millioner brugerkonti: Er du blevet ramt?




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Kompetera SolutionsDay 2017

Som it-professionel i dag forventes du at have et bud på fremtiden, fod på sikkerheden og fuldt styr på driften. På Kompetera SolutionsDay 2017 får du inspiration og svar - kom og hør spændende indlæg fra blandt andre Jakob Scharf tidligere chef for PET og Ken Bonefeld Nielsen, head of corporate security & ACA Department hos Sony Mobile Communications.

05. oktober 2017 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

10. oktober 2017 | Læs mere


EU persondataforordning - praktiske løsninger på dataudfordringer

Seminaret sætter fokus på dataportabilitet, Right to be Forgotten og 72-timers notifikationsreglen. Den 25. maj 2018 skal det hele være på plads! Her skal danske virksomheder leve op til EUs nye regler om databeskyttelse. Deltag og få indsigt i metoder og praktiske eksempler.

11. oktober 2017 | Læs mere





mest debaterede artikler

Computerworld
Apples nye iOS 11 skaber store batteriproblemer på iPhone og iPad: Disse fire ting kan du gøre ved det
Apples nye iOS 11 skaber batteriproblemer for mange brugere, der oplever, at iPhonen pludselig ikke længere holder til en hel dag på jobbet. Du kan dog selv minimere problemet med disse fire lette trin.
CIO
It-direktør i Skat stopper - har fået ny topstilling i den danske it-branche
Claus Middelboe Andersen stopper som it-direktør i Skat, da han har fået en ny topstilling i den danske it-branche.
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan får mindre virksomheder ny it-infrastruktur i topklasse til lavpris
Digitaliseringen buldrer frem i erhvervslivet, og store virksomheder har travlt med at investere i nye it-løsninger for at placerer sig bedst muligt i en konkurrencesituation, der bliver stadig mere skarp. Det mærker man også i de mindre virksomheder, men for dem er indkøb og vedligeholdelse af et it-system ofte en uoverskuelig og kostbar opgave, der tilmed kræver særlige kvalifikationer, som virksomheden måske ikke selv besidder. Her kan ny, moderne hyperkonvergeret it-teknologi være løsningen. Læs i dette whitepaper om fordelene og detaljerne i en komplet, nøglefærdig it-infrastruktur fra Lenovo, Intel og Nutanix, som tilmed er prismæssigt meget gunstig.