Appleは、クラウドストレージサービスであるBoxを介して機密データを誤って漏えいさせてきた多数の大企業の1つです。
セキュリティ研究者は、スタッフが簡単に発見できるファイルやドキュメントへのパブリックリンクを共有することでデータを公開していることを発見しました。 Box自体を含む90社以上が影響を受けていると考えられています。
アップルはシリコンバレーで最も秘密主義の会社の1つです。 最も機密性の高い情報が暴走するのを防ぐために多大な労力を費やし、機密データをこぼした従業員を厳しく罰します。
しかし、一部のAppleスタッフは、Boxを介して機密データを共有することにより、機密データを誤って公開していることが判明しました。
クラウド共有に注意してください
サイバーセキュリティ調査会社Adversis 警告しました 大手企業がBoxリンクを共有することでデータを公開していること。 リンクは秘密になっているはずですが、Adversisは誰でも簡単に見つけられると言っています。
「スクリプトを使用して、会社名のリストとワイルドカード検索を使用してBoxアカウントをスキャンおよび列挙したところ、Adversisは、一般にアクセス可能なフォルダーを持つ90社を超える企業を発見しました」と報告しています。 TechCrunch.
Adversisが見つけたデータには、パスポートの写真、社会保障、銀行口座番号などがあります。 注目を集めるテクノロジーのプロトタイプと設計ファイル、財務データ、顧客リスト、VPN 構成。
Adversisは、すべての企業に個別に連絡を取り、その発見を通知することを計画していました。 「しかし、私たちはすぐにそれがこの規模では不可能であることに気づきました」とそれは説明します。 「非常に機密性の高い」データを公開した一部の企業に警告しました。
「機密データが漏洩している可能性が高い」
企業で使用されているようなBoxエンタープライズアカウントは、デフォルトでプライベートです。 ただし、従業員はリンクを共有することでファイルやドキュメントを公開でき、他の人がそれらのリンクを見つけられることに気づいていません。
これらのパブリックフォルダは、検索エンジンによってインデックスが付けられることもあり、検索が容易になります。 Boxアカウントに保存された機密文書がGoogleに表示された後、Boxは最近すでにニュースになっています。
「あなたの会社がBoxを使用している場合、機密データがすでに漏洩している可能性が高く、公開ファイル共有を無効にした後でこれを読み終えることができます」とAdversis氏は警告します。
ただし、これはBoxのせいではないことに注意してください。 デフォルトではエンタープライズアカウントを保護し、データ漏洩のリスクを最小限に抑える方法についてユーザーにアドバイスします。 注意してファイルを共有するのはユーザー次第です。
Appleは問題を修正しました
それらのユーザーがリスクを認識している場合でも、リークを防ぐことは難しい場合があります。 Boxの従業員は、クライアントとの署名済みの機密保持契約やスタッフのパフォーマンスレポートなど、多数の会社のファイルを公開しました。
ログや地域の価格表など、一部のAppleデータは実際に公開されました。 製品のプロトタイプの設計や発売計画など、より機密性の高い情報は、Boxフォルダーに見つかりませんでした。
Adversisは、昨年9月に最初に調査結果をBoxに報告し、Boxは数日後にすべての顧客に公共サービスの発表を行いました。 Appleや他の多くの人々はすでにこの問題に取り組んでいます。