Decenas de empresas filtraron datos confidenciales gracias a cuentas de Box mal configuradas

Decenas de empresas filtraron datos confidenciales gracias a cuentas de Box mal configuradas

Los investigadores de seguridad han encontrado docenas de compañías que sin querer filtran datos corporativos y de clientes confidenciales porque el personal está compartiendo enlaces públicos a archivos en sus cuentas de almacenamiento Enterprise de Box que se pueden descubrir fácilmente.

Los descubrimientos fueron realizados por Adversis, una empresa de seguridad cibernética, que descubrió que las principales empresas tecnológicas y los gigantes corporativos habían dejado los datos expuestos inadvertidamente. Aunque los datos almacenados en las cuentas de Box Enterprise son privados por defecto, los usuarios pueden compartir archivos y carpetas con cualquier persona, haciendo que los datos sean de acceso público con un solo enlace. Pero Adversis dijo que estos enlaces secretos pueden ser descubiertos por otros. Al usar un script para buscar y enumerar las cuentas de Box con listas de nombres de compañías y búsquedas de comodines, Adversis encontró más de 90 compañías con carpetas de acceso público.

Ni siquiera el personal de Box era inmune a la filtración de datos.

La compañía dijo que aunque gran parte de los datos son legítimamente públicos y Box aconseja a los usuarios cómo minimizar los riesgos, muchos empleados pueden no saber que otros pueden encontrar datos confidenciales que comparten.

Peor aún, algunas carpetas públicas raspadas e indexadas por los motores de búsqueda, hacen que los datos se encuentren más fácilmente.

En una publicación del blog, Adversis dijo que los administradores de Box deberían reconfigurar el acceso predeterminado para los enlaces compartidos a "personas en su empresa" para reducir la exposición accidental de los datos al público.

Adversis dijo que encontró fotos de pasaportes, cuentas bancarias y números de Seguro Social, contraseñas, listas de empleados, datos financieros, como facturas y recibos, y datos de clientes, entre los datos encontrados. La compañía contactó a Box para advertir sobre las exposiciones más grandes de datos confidenciales, pero observó que había poca mejora general seis meses después de su divulgación inicial.

"Simplemente hay demasiado por ahí y no hay suficiente tiempo para resolver cada uno individualmente", dijo.

Adversis proporcionó a TechCrunch una lista de las cuentas de Caja expuestas conocidas. Nos pusimos en contacto con varias de las grandes empresas nombradas, así como con las que se sabe que tienen datos altamente confidenciales, que incluyen:

  • Amadeus, el fabricante de sistemas de reserva de vuelos, dejó una carpeta llena de documentos y archivos de solicitud asociados con Singapore Airlines. A principios de este año, el investigador descubrió fallas que facilitaron el cambio de reservaciones realizadas con Amadeus.
  • Apple tuvo varias carpetas expuestas, que contenían lo que parecían ser datos internos no confidenciales, como registros y listas de precios regionales.
  • La red de televisión Discovery tenía más de una docena de carpetas en la lista, incluidos volcados de base de datos de millones de nombres de clientes y direcciones de correo electrónico. Las carpetas también contenían información demográfica y archivos de proyectos del desarrollador, incluidos contratos y notas de fundición y documentos fiscales.
  • Edelman, la firma global de relaciones públicas, tenía una propuesta de proyecto completa para trabajar con la división de transporte público de la ciudad de Nueva York, incluidos los planes detallados de la propuesta y más de una docena de currículos del personal potencial para el proyecto, incluidos sus nombres, direcciones de correo electrónico y teléfono. números.
  • El gigante de la nutrición Herbalife dejó varias carpetas expuestas que contenían archivos y hojas de cálculo de aproximadamente 100,000 clientes, incluidos sus nombres, direcciones de correo electrónico y números de teléfono.
  • Opportunity International, una organización sin fines de lucro cuyo objetivo es acabar con la pobreza mundial, expuso una lista de nombres de donantes, direcciones y cantidades expuestas en una hoja de cálculo masiva.
  • Schneider Electric dejó docenas de pedidos de clientes accesibles para cualquier persona, incluidos trabajos de lodos y estaciones de bombeo para varias ciudades y pueblos. Cada carpeta tenía un documento de "secuencia de operación" de instalación, que incluía tanto las contraseñas predeterminadas como, en algunos casos, contraseñas de acceso de "puerta trasera" en caso de contraseñas olvidadas
  • Pointcare, una compañía de software de administración de cobertura de seguro médico, expuso miles de nombres de pacientes e información de seguros. Algunos de los datos incluían los últimos cuatro dígitos de los números de la Seguridad Social.
  • United Tissue Network, una donación de todo el cuerpo sin fines de lucro, expuso la información del donante del cuerpo y la información personal de los donantes en una amplia hoja de cálculo, incluidos los precios de las partes del cuerpo.

Box, que inicialmente no tenía comentarios cuando nos contactamos, tenía varias carpetas expuestas. La investigación expuso los acuerdos firmados de no divulgación en sus clientes, incluidas varias escuelas de EE. UU., Así como las métricas de rendimiento de su propio personal, dijeron los investigadores.

El portavoz de Box, Denis Ron, dijo en una declaración: "Tomamos en serio la seguridad de nuestros clientes y brindamos controles que les permiten elegir el nivel correcto de seguridad en función de la sensibilidad del contenido que están compartiendo. En algunos casos, es posible que los usuarios deseen compartir archivos o carpetas de manera amplia y establecerán los permisos para un enlace personalizado o compartido a público o "abierto". "Estamos tomando medidas para que estas configuraciones sean más claras, para ayudar a los usuarios a comprender mejor cómo se pueden compartir sus archivos o carpetas, y para reducir la posibilidad de que el contenido se comparta involuntariamente, incluida la mejora de las políticas de administración y la introducción de controles adicionales para los enlaces compartidos".

El gigante de la nube dijo que planea reducir el descubrimiento involuntario de archivos y carpetas públicos.

Amadeus, Apple, Box, Discovery, Herbalife, Edelman y Pointcare reconfiguraron sus cuentas empresariales para evitar el acceso a sus archivos con filtraciones después de que TechCrunch se comunicara.

La portavoz de Amadeus, Alba Redondo, dijo que la compañía retiró a Box en octubre y atribuyó la exposición a una cuenta que estaba "mal configurada en modo público", que ahora se ha corregido y el acceso externo a la misma ahora está cerrado. "Continuamos investigando este problema y confirmamos que no ha habido acceso no autorizado a nuestro sistema", dijo el portavoz, sin explicación alguna. "No hay evidencia de que la información confidencial o cualquier información que contenga datos personales haya sido afectada por este problema", agregó el portavoz. Le preguntamos a Amadeus cómo llegó a la conclusión de que no hubo acceso indebido, y lo actualizaremos cuando recibamos una respuesta.

El presidente ejecutivo de Pointcare, Everett Lebherz, confirmó que sus archivos con fugas se habían "eliminado y ajustado la configuración de la caja". El jefe de marketing global de Edelman, Michael Bush, dijo que la compañía estaba "investigando este asunto".

La portavoz de Herbalife, Jennifer Butler, dijo que la compañía estaba "investigándola", pero no tuvimos una respuesta después de varios seguimientos. (Butler declaró su correo electrónico "fuera del registro", lo que requiere que ambas partes acepten los términos por adelantado, pero están imprimiendo la respuesta ya que no se nos dio la oportunidad de rechazar los términos).

Cuando se alcanzó, un portavoz de Apple no hizo comentarios al momento de la publicación.

Discovery, Opportunity International, Schneider Electric y United Tissue Network no devolvieron una solicitud de comentarios.

El "dumpster diving" de datos no es un pasatiempo nuevo para los expertos, pero es una sub-industria necesaria para corregir una categoría emergente de violaciones de datos: fugas, datos públicos y datos expuestos que no deberían ser. Es un espacio en crecimiento que predijimos que crecería a medida que más investigadores de seguridad busquen encontrar e informar fugas de datos.

Solo este año, hemos reportado fugas de datos en Dow Jones, Rubrik, NASA, AIESEC, Uber, el Banco Estatal de la India, dos lotes masivos de números indios de Aadhaar, una gran filtración de datos de hipotecas y préstamos, y varios sistemas de vigilancia del gobierno chino. sistemas

Adversis ha abierto y publicado su herramienta de escaneo.


Source link