Ouvrir le menu principal

MacGeneration

Recherche

Il est assez facile de faucher en douce des documents partagés par des liens Box Enterprise

Mickaël Bazoge

lundi 11 mars 2019 à 19:30 • 13

Ailleurs

Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.

Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.

Fouillons un peu dans le dossier Box de cette entreprise…

Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.

Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.

C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.

Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.

En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

La Maison-Blanche qualifie « d'extorsion économique » l’amende de l’UE infligée à Meta et Apple

16:09

• 53


Refurb : des Mac mini M4 de retour entre 590 et 3 700 €

15:10

• 1


Choisissez la couleur du tee-shirt des 25 ans de MacGeneration !

14:45

• 29


Vous pouvez récupérer le pin’s créé pour les dix ans de l’Apple Watch en Apple Store 🆕

14:22

• 52


La MX Creative Console de Logitech prend désormais en charge Final Cut Pro et Affinity Photo

13:00

• 2


Le futur écran 5K et 27 pouces de ViewSonic arrivera en juin pour 1 139 €

12:00

• 9


Refurb : le retour du MacBook Air M1 à 709 € face aux M2 et M4 en promotion

11:10

• 5


Adobe MAX Londres : des nouveautés tout feu, tout Firefly pour le Creative Cloud

11:00

• 4


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

09:17

• 0


DMA : Bruxelles inflige une amende de 500 millions à Apple et de 200 millions à Meta 🆕

08:15

• 128


Perplexity met une méchante claque à Apple en montrant ce qu’ils pourraient faire de Siri

08:15

• 98


Une très involontaire journée portes ouvertes à l'Apple Store d'Amsterdam vu dans iHostage

07:57

• 18


QEMU passe en version 10 et gagne quelques fonctions graphiques sur les Mac

23/04/2025 à 18:00

• 14


Kernel Panic : 20 ans d’Intel, merci et bon débarras ?

23/04/2025 à 17:00

• 4


OpenAI voudrait bien acheter Chrome, si le navigateur de Google était à vendre

23/04/2025 à 16:00

• 29


Intel pourrait licencier environ 20 000 personnes de plus

23/04/2025 à 15:03

• 16