Des dizaines d’entreprises ont divulgué des données sensibles grâce à des comptes Box mal configurés.
Les chercheurs en sécurité ont découvert que des douzaines d’entreprises divulguent par inadvertance des données sensibles d’entreprise et de clients parce que le personnel partage des liens publics vers des fichiers dans leurs comptes de stockage Box Enterprise qui peuvent être facilement découverts.
Les découvertes ont été faites par Adversis, une entreprise de cybersécurité, qui a découvert que de grandes entreprises de technologie et des géants du secteur privé avaient laissé des données exposées par inadvertance. Bien que les données stockées dans les comptes d’entreprise Box soient privées par défaut, les utilisateurs peuvent partager des fichiers et des dossiers avec n’importe qui, rendant les données accessibles au public avec un seul lien. Mais Adversis dit que ces liens secrets peuvent être découverts par d’autres. À l’aide d’un script de recherche et d’énumération des comptes de boîtes avec des listes de noms d’entreprises et des recherches de caractères génériques, Adversis a trouvé plus de 90 entreprises avec des dossiers accessibles au public.
A lire en complément : Powtoon acquiert Showbox.com pour étendre sa plateforme de création vidéo
Même le personnel de Box n’était pas à l’abri des fuites de données.
L’entreprise a déclaré que même si une grande partie des données est légitimement publique et que Box conseille les utilisateurs sur la façon de minimiser les risques, de nombreux employés ne savent peut-être pas que les données sensibles qu’ils partagent peuvent être trouvées par d’autres.
A voir aussi : Le prochain grand débat portera sur le rôle de la technologie dans la société et le gouvernement.
Pire encore, certains dossiers publics sont grattés et indexés par les moteurs de recherche, ce qui facilite la recherche des données.
Dans un billet de blog, Adversis a déclaré que les administrateurs de boîtes devraient reconfigurer l’accès par défaut pour les liens partagés avec les ” personnes de votre entreprise ” afin de réduire l’exposition accidentelle des données au public.
Adversis a dit avoir trouvé des photos de passeport, des numéros de compte bancaire et de sécurité sociale, des mots de passe, des listes d’employés, des données financières comme des factures et des reçus, ainsi que des données sur les clients. La société a contacté Box pour l’avertir de l’exposition accrue aux données sensibles, mais a noté qu’il y avait eu peu d’amélioration générale six mois après sa divulgation initiale.
“Il y a tout simplement trop de problèmes et pas assez de temps pour les résoudre individuellement “, dit-il.
Adversis a fourni à TechCrunch une liste des comptes exposés connus. Nous avons contacté plusieurs des grandes entreprises nommées, ainsi que celles connues pour avoir des données très sensibles, y compris :
- Amadeus, le fabricant du système de réservation de vols, qui a laissé un dossier rempli de documents et de dossiers de demande associés à Singapore Airlines. Plus tôt cette année, un chercheur a découvert des failles qui ont facilité les réservations de changement faites auprès d’Amadeus.
- Apple avait plusieurs dossiers exposés, contenant ce qui semblait être des données internes non sensibles, comme les journaux et les listes de prix régionales.
- Le réseau de télévision Discovery avait plus d’une douzaine de dossiers répertoriés, y compris des bases de données contenant des millions de noms et d’adresses électroniques de clients. Les dossiers contenaient également des renseignements démographiques et des dossiers de projets de développement, y compris des contrats de moulage, des notes et des documents fiscaux.
- Edelman, la firme mondiale de relations publiques, avait une proposition de projet complète pour travailler avec la division du transport en commun de la ville de New York, y compris des plans de proposition détaillés et plus d’une douzaine de curriculum vitae d’employés potentiels pour le projet – y compris leurs noms, adresses électroniques, et numéros de téléphone.
- Le géant de la nutrition Herbalife a laissé plusieurs dossiers exposés contenant des fichiers et des feuilles de calcul sur environ 100 000 clients, y compris leurs noms, adresses électroniques et numéros de téléphone.
- Opportunity International, une organisation à but non lucratif visant à mettre fin à la pauvreté dans le monde, a exposé une liste de noms, d’adresses et de montants donnés par les donateurs dans une feuille de calcul massive.
- Schneider Electric a laissé des dizaines de commandes de clients accessibles à tous, y compris des stations de traitement des boues et des stations de pompage pour plusieurs villes et communes. Chaque dossier avait un document d’installation “séquence d’opération”, qui comprenait à la fois des mots de passe par défaut et, dans certains cas, des mots de passe d’accès “backdoor” en cas d’oubli des mots de passe.
- Pointcare, une compagnie de logiciels de gestion de couverture d’assurance médicale, a exposé des milliers de noms de patients et d’informations d’assurance. Certaines des données comprenaient les quatre derniers chiffres des numéros de sécurité sociale.
- United Tissue Network, un organisme sans but lucratif de don de tissus, a exposé les renseignements sur les donneurs et les renseignements personnels des donneurs dans une vaste feuille de calcul, y compris le prix des parties du corps.
Box, qui n’avait au départ aucun commentaire lorsque nous l’avons contacté, avait plusieurs dossiers exposés. L’entreprise exposée a signé des accords de non-divulgation sur ses clients, y compris plusieurs écoles américaines, ainsi que des indicateurs de performance de son propre personnel, ont déclaré les chercheurs.
Denis Ron, porte-parole de Box, a déclaré dans un communiqué : ” Nous prenons la sécurité de nos clients au sérieux et nous fournissons des contrôles qui permettent à nos clients de choisir le bon niveau de sécurité en fonction de la sensibilité du contenu qu’ils partagent. Dans certains cas, les utilisateurs peuvent vouloir partager des fichiers ou des dossiers de manière générale et définiront les permissions pour un lien personnalisé ou partagé vers public ou”ouvert”. Nous prenons des mesures pour rendre ces paramètres plus clairs, mieux aider les utilisateurs à comprendre comment leurs fichiers ou dossiers peuvent être partagés, et réduire le risque de partage non intentionnel de contenu, notamment en améliorant les politiques d’administration et en introduisant des contrôles supplémentaires pour les liens partagés.”
Le géant des nuages a déclaré qu’il prévoit de réduire la découverte involontaire de fichiers et dossiers publics.
Amadeus, Apple, Box, Discovery, Herbalife, Edelman et Pointcare ont tous reconfiguré leurs comptes d’entreprise pour empêcher l’accès à leurs fichiers qui fuient après que TechCrunch ait pris contact.
Le porte-parole d’Amadeus, Alba Redondo, a déclaré que l’entreprise avait déclassé Box en octobre et blâmé l’exposition sur un compte qui était “mal configuré en mode public”, ce qui a été corrigé et dont l’accès externe est maintenant fermé. “Nous continuons d’enquêter sur cette question et confirmons qu’il n’y a pas eu d’accès non autorisé à notre système “, a déclaré le porte-parole, sans explication, ” il n’y a aucune preuve que des informations confidentielles ou des informations contenant des données personnelles ont été affectées par cette question “, ajoute le porte-parole. Nous avons demandé à Amadeus comment il avait conclu qu’il n’y avait pas d’accès abusif, et nous ferons le point lorsque nous recevrons des nouvelles.
Le directeur général de Pointcare, Everett Lebherz, a confirmé que les fichiers qui fuyaient avaient été “supprimés et que les paramètres des boîtes avaient été ajustés”, a déclaré Michael Bush, directeur du marketing mondial d’Edelman, qui a déclaré que l’entreprise “étudiait cette question”.
Jennifer Butler, porte-parole d’Herbalife, a déclaré que l’entreprise ” étudiait la situation “, mais nous n’avons pas eu de nouvelles après plusieurs suivis. (Butler a déclaré son courriel ” officieusement “, ce qui exige que les deux parties acceptent les conditions à l’avance, mais elle imprime la réponse, car nous n’avons pas eu l’occasion de rejeter les conditions.)
Une fois atteint, un porte-parole d’Apple n’a pas commenté au moment de la publication.
Discovery, Opportunity International, Schneider Electric et United Tissue Network n’ont pas envoyé de demande de commentaires.
La ” fouille de bennes à ordures ” n’est pas un nouveau passe-temps pour les personnes qualifiées, mais c’est une sous-industrie nécessaire pour corriger une catégorie émergente d’atteintes à la protection des données : les fuites, le public et les données exposées qui ne devraient pas l’être. Il s’agit d’un espace de plus en plus vaste, comme nous l’avions prédit, car de plus en plus de chercheurs en sécurité cherchent à trouver et à signaler les fuites de données.
Cette année seulement, nous avons signalé des fuites de données chez Dow Jones, Rubrik, la NASA, l’AIESEC, Uber, la State Bank of India, deux lots massifs de chiffres indiens Aadhaar, une fuite énorme de données hypothécaires et de prêts, et plusieurs systèmes de surveillance du gouvernement chinois.
Et nous en sommes encore au premier trimestre de l’année. Adversis s’attend à trouver plus de données exposées à mesure qu’elle développera les listes de mots qu’elle utilise pour analyser les fichiers. L’entreprise a fait appel à des sources ouvertes et l’a publié en ligne.
Voici à quoi s’attendre en matière de cybersécurité en 2019