אפל היא אחת ממספר גדול יותר של חברות גדולות שהדליפו בטעות נתונים רגישים באמצעות Box, שירות אחסון הענן.
חוקרי אבטחה גילו כי הצוות חושף נתונים על ידי שיתוף קישורים ציבוריים לקבצים ומסמכים הניתנים לגלות בקלות. ההערכה היא שיותר מ -90 חברות, כולל Box עצמה, מושפעות.
אפל היא אחת החברות החשאיות ביותר בעמק הסיליקון. הוא עושה מאמצים רבים כדי למנוע מהמידע הרגיש ביותר שלו לפלס את דרכו לטבע, ומעניש בחומרה עובדים ששופכים נתונים רגישים.
אך מסתבר שחלק מעובדי אפל הפכו מידע רגיש לבלתי מכוון על ידי שיתוף באמצעות Box.
היזהר משיתוף ענן
חברת מחקר אבטחת הסייבר Adversis הוזהר שחברות גדולות חושפות את הנתונים שלהן על ידי שיתוף קישורים של Box. הקישורים אמורים להיות סודיים, אך Adversis אומרת שהם ניתנים לזיהוי בקלות על ידי כל אחד.
"באמצעות סקריפט לסרוק ולמנה ספקי חשבונות Box עם רשימות של שמות חברות וחיפושים עם תווים כלליים, מצאה Adversis למעלה מ -90 חברות עם תיקיות נגישות לציבור", מדווחים. TechCrunch.
חלק מהנתונים שמצאה Adversis כוללים תמונות פספורט, ביטוח לאומי ומספרי חשבון בנק, אבות טיפוס גבוהים וקבצי עיצוב טכנולוגיים בעלי פרופיל גבוה, נתונים פיננסיים, רשימות לקוחות ו- VPN תצורות.
Adversis תכנן לפנות לכל חברה בנפרד כדי להודיע לה על תגליתה. "אבל מהר מאוד הבנו שזה בלתי אפשרי בקנה מידה זה", הוא מסביר. היא אכן התריעה לחברות שחשפו נתונים "רגישים מאוד".
'סיכוי טוב שאתה מדליף נתונים רגישים'
חשבונות ארגוניים, כמו אלה שמשמשים חברות, הם פרטיים כברירת מחדל. אך עובדים יכולים להפוך קבצים ומסמכים לציבוריים על ידי שיתוף קישורים אליהם, והם אינם מודעים לכך שאחרים יכולים למצוא קישורים אלה.
במקרים מסוימים אפילו תיקיות ציבוריות אלו נוספות לאינדקס על ידי מנועי החיפוש, מה שהופך אותן לקלות יותר למצוא. Box כבר התפרסם לאחרונה לאחר שמסמכים רגישים שנשמרו בחשבונות Box הופיעו ב- Google.
"אם החברה שלך משתמשת ב- Box, יש סיכוי טוב שאתה כבר מדליף נתונים רגישים וייתכן שתרצה לסיים לקרוא את זה לאחר שתבטל שיתוף קבצים ציבורי", מזהיר Adversis.
עם זאת, חשוב לציין שזו לא אשמתו של בוקס. הוא מגן על חשבונות ארגוניים כברירת מחדל - ומייעץ למשתמשים כיצד למזער את הסיכונים של דליפת נתונים. על המשתמש לשתף קבצים בזהירות.
אפל פתרה את הבעיה
גם כאשר אותם משתמשים מודעים לסיכונים, זה יכול להיות קשה למנוע דליפות. עובדי Box עצמה חשפו מספר תיקי חברה, כולל הסכמי סודיות שנחתמו עם לקוחות ודוחות ביצועי צוות.
חלק מהנתונים של אפל, כולל יומני מחירים ומחירים אזוריים, עשו את דרכם לטבע. מידע רגיש יותר, כגון עיצובי אב טיפוס של מוצרים ותוכניות השקה, לא נמצא בתיקיות ה- Box שלו.
אדברסיס דיווחה לראשונה על תוצאות ממצאיה לבוקס בספטמבר האחרון, ובוקס עקבה אחר כך עם הודעת שירות לציבור לכל לקוחותיה ימים לאחר מכן. אפל ורבים אחרים כבר טיפלו בבעיה זו.
