Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.
Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.
Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.
Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.
C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.
Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.
En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.
Source :
