Ouvrir le menu principal

MacGeneration

Recherche

Il est assez facile de faucher en douce des documents partagés par des liens Box Enterprise

Mickaël Bazoge

lundi 11 mars 2019 à 19:30 • 13

Ailleurs

Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.

Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.

Fouillons un peu dans le dossier Box de cette entreprise…

Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.

Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.

C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.

Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.

En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.

Source : TechCrunch

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Les meilleures promos du Black Friday : AirPods Pro 2 et serrure HomeKit à 199 €, Apple Pencil…

19:05

• 16


Black Friday : MacBook Air M2 à 879 € et M3 dès 979 €

18:45

• 2


Incogni : une promotion fantastique pour le Black Friday, foncez ! 📍

15:05


Black Friday : les AirPods Pro 2 maintenant à 199 €, un prix jamais vu 🆕

12:56


La maison au soleil : test du système SOLIX d’Anker, le solaire avec batterie

10:04


Apple et la mémoire flash, une longue histoire d'amour

23/11/2024 à 11:00

• 26


Sortie de veille : télé Apple et iPhone 17 ultra-fin, des rumeurs folles ou crédibles ?

23/11/2024 à 08:00

• 0


Intrusion informatique, quand une entreprise joue le jeu de la communication ouverte

22/11/2024 à 20:45

• 17


Le SSD de certains MacBook Pro M4 Max atteint presque 11 Go/s

22/11/2024 à 20:30

• 17


Test du système mesh Wi-Fi 7 Netgear Orbi 970 : une poignée de mégabits, pour quelques centaines d’euros de plus

22/11/2024 à 17:00

• 12


Décodeur Orange : mise en veille automatique du boitier par le téléviseur

22/11/2024 à 16:30

• 38


macOS 15.2 : Safari dédouble ses fonctions d'import de données

22/11/2024 à 15:02

• 5


Buy Now : un documentaire sur la surconsommation avec le CEO d’iFixit et un ancien d’Apple

22/11/2024 à 12:15

• 78


Protégez votre Mac pour seulement 2,03 €/mois avec CyberGhost VPN : l'offre Black Friday à ne pas manquer ! 📍

22/11/2024 à 11:49


OpenAI envisagerait de lancer un navigateur web

22/11/2024 à 11:15

• 25


Black Friday : le Creative Cloud ainsi que les apps Affinity et DxO jusqu’à - 55 %

22/11/2024 à 10:10

• 16