"Simpel, sikker fildeling og samarbejde fra hvor som helst."
Sådan lyder salgssloganet hos Box.com, en af de populære tjenester til online-storage og fildeling.
Nu er Box.com dog havnet i lidt af en sikkerheds-pine, efter at en sikkerhedsekspert har sat fokus på, at Box.com ikke har haft godt nok styr på beskyttelsen af brugernes data.
Til Kaspersky Labs medie, Threatpost, fortæller sikkerhedsekspert Markus Neis fra Swisscom, at en bug i måden, Box.com håndterer brugerkonti på, betød, at man via simple søgninger i Google eller Bing kunne finde fortrolige data fra Box.com-konti, der var sat op til at der skulles samarbejdes om data og filer.
Ifølge Threatpost fandt Markus Neis via søgemaskinerne officielle invitationer til 'samarbejde' fra over 10.000 offentlige Box.com-konti - og heriblandt indeholdt en række af dem følsomme data, der var markeret som 'fortroligt'.
Problemerne er opstået, når Box.com-brugere har sendt invitationer til andre for at give dem adgang til filer og mapper med henblik på samarbejde.
Godt nok sendes der så en unik URL til modtageren, men samtidig genererer Box.com automatisk en landing page - og denne har eksempelvis Google så nået at indeksere, så invitations-links i stort antal florerede i søgemaskinerne.
Kan misbruges til malware
Markus Neis forklarer til Threatpost, hvorfor det er et problem:
"Fra en angribers perspektiv er det fantastisk. Ikke alene opnås adgang til følsomme informationer, det åbner også døren til social engineering-angreb."
"Angribere kan uploade deres egen malware til et Box.com-projekt, indentificere mål til medarbejder-phishing via email-adresser og simpelthen hoste malware og dele linket. Pludselig er din virksomheds Box.com-konto kendt for at distribuere malware."
Ifølge Threatpost har Box.com nu ændret måden, som tjenesten håndterer offentligt delte konti og mapper på.
"Vi har kontaktet Google for at få fjernet disse offentlige links fra indekset. Det bør være sket om kort tid. Vi har ændret alle disse sider for at sikre at vores links til samarbejde ikke indekseres af Google fremadrettet."
Selvom tjenesterne til online-storage og samarbejde generelt har en høj sikkerhed, er det ikke første gang, at en tjeneste havner i problemer.
Sidste år var det eksempelvis Dropbox, der måtte bede alle brugerne om at skifte adgangskode på grund af et sikkerhedsproblem. Læs mere om det her:
Dropbox sender klart krav til brugerne: Derfor skal gamle adgangskoder ændres nu
Dropbox har mistet oplysninger om 68 millioner brugerkonti: Er du blevet ramt?
