Au moins 90 entreprises, qui utilisent le service cloud professionnel Box, ont laissé accessibles des données parfois sensibles. Celles-ci étaient partagées via des liens supposés secrets, mais qu’il est assez aisé de découvrir, les rendant potentiellement accessibles. Apple figure au rang des sociétés concernées.

Les chercheurs d’Aversis, qui ont fait la découverte, la décrivent ainsi : bien que les données stockées dans les comptes d’entreprise Box soient par défaut privées, les utilisateurs peuvent partager des fichiers et des dossiers à l’aide de liens privés. Ces liens secrets peuvent être découverts à l’aide d’un script permettant de rechercher et d’énumérer des comptes Box contenant des listes de noms de sociétés et des recherches génériques. Pire, dans certains cas, les url partagées ont été indexées par les moteurs de recherche, rendant leur découverte encore plus triviale.

Grâce à sa méthode, Aversis a déniché des données sensibles, photos de passeports, données bancaires, listes d’employés, mots de passe etc. Apple a eu « plusieurs dossiers accessibles », mais ne contenant a priori pas de données sensibles : il s’agissait de logs et de listes de prix localisées.

Box a réagit en indiquant qu’il allait clarifier les méthodes de partage de fichiers, et renforcer la sécurité de ses url. Apple, ainsi que d’autres entreprises, ont annoncé avoir… reconfiguré leurs comptes Box.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.