----------------------------------
跟據外媒techcrunch的報道,由於提供網絡硬盤服務的Box在文件訪問權限配置上的不當,導致數十家公司在不經意間洩露了公司和客戶的敏感數據。
這一情況由網絡安全公司Adversis發現,他們通過對使用Box服務的數個賬號進行掃描查找,發現至少有90家公司的私密文件、文件夾可以被公開訪問。不僅諸如蘋果、探索頻道、施耐德電氣等客戶的文件能被無權限地訪問,連Box自家的文件也沒能例外。
造成這一現象的原理有些讓人哭笑不得,原本Box對用戶上傳的所有數據都設置為私有,的確不能公開訪問。但是通過鏈接分享文件的方式造成了漏洞,這些鏈接都可以被檢索,於是通過搜索引擎就能訪問到本來私密的,僅限分享到對應目標的文件。
通過鏈接分享私密文件的方式,在各家網盤服務中都有使用,不僅是Box等國外的網盤服務,中國國內的百度網盤、騰訊微雲、360雲盤等服務也都採用鏈接方式來讓用戶分享文件。現在的人們也都習慣了將文件傳到網盤,再通過鏈接把分享分享給他人的方式。
文件分享鏈接本該是成熟的,安全可靠的方式,原本這些鏈接該是僅僅只有得到鏈接的人才可以訪問,不知道鏈接的人想要得到具體鏈接需要花費大量功夫。但Box明顯是對訪問權限的設計、鏈接的保護、搜索引擎的反收錄等工作產生了疏忽,才使得文件洩露事件發生。
Box的發言人表示他們會提供更多的措施,諸如給文件或鏈接的權限設置更加清晰、給予用戶更多共享文件的操作指引、改進管理權限的策略和引入更多控件等,來讓用戶分享的文件處於合適的安全級別,減少無意中被公開的可能性。
對於使用鏈接分享文件的普通用戶來說,不用過多緊張。和單純通過鏈接就能訪問文件的模式相比,國內的大多數網盤服務都會要求訪問文件時輸入對應的隨機密碼,就算不小心公開分享了文件,只有鏈接沒有密碼是無法被人獲取到的。
-----------------------------------
獨家福利:到雷科技公眾號(ID:leitech)對話框,回覆:我要紅包,即有機會獲得微信紅包!
閱讀更多 雷科技 的文章
