Wouter Hoeffnagel - 13 maart 2019

Gevoelige informatie op straat door configuratiefouten in Box

Verschillende grote bedrijven lekken gevoelige informatie doordat zij Box niet goed hebben geconfigureerd. Door menselijke configuratiefouten zijn interne documenten en gevoelige informatie vrij toegankelijk via internet.

Hiervoor waarschuwt beveiligingsbedrijf Adversis, meldt ZDNet. De problemen zijn het gevolg van configuratiefouten, waarbij gebruikers verzuimen het toegangsniveau te beperken tot mensen binnen hun eigen organisaties. Bestanden of mappen die via deelbare linkjes worden gedeeld met derden, zijn hierdoor toegankelijk voor iedereen die deze URL's in handen krijgt. Ook kunnen gebruikers op maat gemaakte linkjes aanmaken voor het delen van bestanden, waarbij bijvoorbeeld woorden in de URL's kunnen worden verwerkt. Adversis waarschuwt dat dit het mogelijk maakt de URL naar bestanden te raden en hierdoor toegang te krijgen tot data.

Allerlei gevoelige informatie toegankelijk

Het bedrijf heeft de proef op de som genomen. Door Box-accounts te zoeken van grote bedrijven en deze op de korrel te nemen wist Adversis allerlei gevoelige informatie te verzamelen. Het gaat hierbij om:

  • Honderden foto's van paspoorten
  • Social Security nummers en bankgegevens
  • Prototypes en ontwerpbestanden van technologie
  • Lijsten met werknemers
  • Financiële gegevens en factureren
  • Lijsten met klantgegevens en archieven met jaren aan interne besprekingen
  • IT-data, VPN-configuraties en netwerkdiagrammen

TechCrunch heeft gegevens van een aantal bedrijven ingezien. De website meldt dat onder meer data van Apple, Discovery Channel, Herbalife, Schneider Electric en Box zelf onbedoeld toegankelijk waren. De meeste datalekken zijn inmiddels gedicht. Ook heeft Box bij alle klanten aan de bel getrokken.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024