Point de bug de la plateforme de partage de fichiers ici, mais de mauvaises configurations des liens de partage. C’est ainsi que des centaines de milliers de documents provenant d’une centaine d’entreprises pouvaient aisément être consultés en ligne et téléchargés.
Une société de sécurité informatique, Adversis a découvert des centaines de milliers de documents et des teraoctets de données d’une centaine d’entreprises librement accessibles sur Box, par une simple recherche. Google, Intel, Apple, Uber, Atos, Nutanix, IBM, Dell, Lyft, Cap Gemini… Ce ne sont là que quelques exemples d’entreprises ayant droit (contre paiement) à un sous-domaine box.com, reconnaissable au logo de l’entreprise sur les pages https://<companyname>.account.box.com.
Or les chercheurs d’Adversis expliquent avoir, par simple force brute, pu accéder à de nombreux fichiers stockés et partagés sur la plateforme. « Lors des deux premiers jours d’analyses non agressives, nous avions des milliers de fichiers et des téraoctets de données provenant de dizaines d'entreprises. La plupart des données étaient en effet des informations publiques ou simplement du matériel de marketing, mais une quantité considérable était sensible » explique Adversis.
Open bar
Photos de passeports, numéro de comptes bancaires ou de sécurité sociale, prototypes de produits, listes d’employés, schéma de configuration réseaux, données financières, tickets d’incidents, factures, rapports de réunions internes… Autant d’informations qui étaient accessibles en testant divers termes en fin d’URLs. Il ne s’agit ni d’un bug ni d’une vulnérabilité, mais d’un manque d’attention de la part des utilisateurs et des administrateurs, les premiers créant des liens publics, les seconds n’ayant pas configuré correctement la politique quant à l’accès aux liens par défaut.
Ce n’est pas la première fois qu’un tel problème fait les gros titres, Box a d’ailleurs annoncé lors de son dernier évènement annuel Boxworks la mise en place d’un outil de supervision permettant aux administrateurs de contrôler les droits d’accès aux fichiers partagés.
Averties, les entreprises concernées ont rapidement mis en place des mesures afin de limiter les accès. Le service de stockage et de partage a pour sa part modifié sa documentation, rappelant que les admins peuvent définir le partage par défaut des liens sur « Personnes dans votre entreprise », de sorte à limiter l’accès aux fichiers.