Une configuration incorrecte du service de stockage Box a mis en danger les données sensibles de nombreux utilisateurs et entreprises. Parmi les entreprises concernées figurent des géants comme Apple et Discovery.
Les services de stockage en ligne offrent la possibilité de partager facilement des données avec d’autres utilisateurs ou publiquement. Les risques sont généralement faibles, mais ces données peuvent toujours être interceptées par des personnes malveillantes, en particulier lorsque vous êtes confronté à une configuration erronée qui facilite l’accès.
Les chercheurs de la société de sécurité informatique Adversis ont constaté que de nombreux et importants clients de Box Enterprise se sont retrouvés avec certaines données et certains fichiers sensibles accessibles au public. Les chercheurs ont découvert des milliers de documents internes et de téraoctets de données clients Box, tous accessibles sans aucune protection.
Le problème provenait d’une configuration incorrecte du service de partage Box : lorsqu’un fichier était partagé via un lien, ce dernier permettait de découvrir d’autres liens privés via une simple attaque par force brute.
Les données découvertes par Adversis comprennent les cartes d’identité, les passeports, les numéros de comptes bancaires, les numéros de sécurité sociale, les mots de passe, les listes des employés, les données financières et les données clients de sociétés telles que Apple, Amadeus, Discovery, Herbalife, Edelman, Pointcare et Box lui-même. Après avoir signalé le problème, toutes les entreprises identifiées ont reconfiguré leurs comptes.
