Artikel top billede Ikon

Populær tjeneste til online-storage blottede links til data i søgemaskinerne

Google havde travlt med at indeksere links til bruger-konti hos Box.com. Fantastisk for de it-kriminelle, lyder det fra en sikkerhedsekspert.

"Simpel, sikker fildeling og samarbejde fra hvor som helst."

Sådan lyder salgssloganet hos Box.com, en af de populære tjenester til online-storage og fildeling.

Nu er Box.com dog havnet i lidt af en sikkerheds-pine, efter at en sikkerhedsekspert har sat fokus på, at Box.com ikke har haft godt nok styr på beskyttelsen af brugernes data.

Til Kaspersky Labs medie, Threatpost, fortæller sikkerhedsekspert Markus Neis fra Swisscom, at en bug i måden, Box.com håndterer brugerkonti på, betød, at man via simple søgninger i Google eller Bing kunne finde fortrolige data fra Box.com-konti, der var sat op til at der skulles samarbejdes om data og filer.

Ifølge Threatpost fandt Markus Neis via søgemaskinerne officielle invitationer til 'samarbejde' fra over 10.000 offentlige Box.com-konti - og heriblandt indeholdt en række af dem følsomme data, der var markeret som 'fortroligt'.

Problemerne er opstået, når Box.com-brugere har sendt invitationer til andre for at give dem adgang til filer og mapper med henblik på samarbejde.

Godt nok sendes der så en unik URL til modtageren, men samtidig genererer Box.com automatisk en landing page - og denne har eksempelvis Google så nået at indeksere, så invitations-links i stort antal florerede i søgemaskinerne.

Kan misbruges til malware

Markus Neis forklarer til Threatpost, hvorfor det er et problem:

"Fra en angribers perspektiv er det fantastisk. Ikke alene opnås adgang til følsomme informationer, det åbner også døren til social engineering-angreb."

"Angribere kan uploade deres egen malware til et Box.com-projekt, indentificere mål til medarbejder-phishing via email-adresser og simpelthen hoste malware og dele linket. Pludselig er din virksomheds Box.com-konto kendt for at distribuere malware."

Ifølge Threatpost har Box.com nu ændret måden, som tjenesten håndterer offentligt delte konti og mapper på.

"Vi har kontaktet Google for at få fjernet disse offentlige links fra indekset. Det bør være sket om kort tid. Vi har ændret alle disse sider for at sikre at vores links til samarbejde ikke indekseres af Google fremadrettet."

Selvom tjenesterne til online-storage og samarbejde generelt har en høj sikkerhed, er det ikke første gang, at en tjeneste havner i problemer.

Sidste år var det eksempelvis Dropbox, der måtte bede alle brugerne om at skifte adgangskode på grund af et sikkerhedsproblem. Læs mere om det her:

Dropbox sender klart krav til brugerne: Derfor skal gamle adgangskoder ændres nu

Dropbox har mistet oplysninger om 68 millioner brugerkonti: Er du blevet ramt?


  • Seneste nyt
  • Læses lige nu
  • Mest læste
  • It-job
  • Søg


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere








Læses lige nu