隨著互聯(lián)網(wǎng)技術(shù)及其應(yīng)用的發(fā)展，大數(shù)據(jù)、云計(jì)算技術(shù)方式的使用，個人信息的價(jià)值不斷被挖掘、被使用，但是安全保護(hù)是一個很大的問題。

近日，知名在線數(shù)據(jù)管理網(wǎng)站BOX.COM被發(fā)現(xiàn)其文件共享機(jī)制存在安全風(fēng)險(xiǎn)，導(dǎo)致許多企業(yè)的部分機(jī)密數(shù)據(jù)和文件可以被谷歌、必應(yīng)等搜索引擎直接檢索。

發(fā)現(xiàn)該問題的威脅情報(bào)人員Markus Neis表示，BOX.COM 在處理云存儲賬戶上存在缺陷，導(dǎo)致一個簡單的搜索引擎查詢就可以讓企業(yè)或個人的機(jī)密文件被任何人訪問。攻擊者利用該問題可以訪問企業(yè)存儲在“云協(xié)作”上的數(shù)據(jù)，其中包括戴爾科技集團(tuán)在內(nèi)的多家大型公司的數(shù)據(jù)。

BOX 的企業(yè)網(wǎng)盤在國外相當(dāng)出名，在中國也擁有一定的用戶，它除了提供常見的文件存儲、同步功能之外，還提供了一項(xiàng)用于多人共享文件和數(shù)據(jù)的“云協(xié)作”功能，而問題正是出在這一功能上。

BOX 提供的“云協(xié)作”功能允許用戶邀請他人來共享賬戶下的文件目錄和數(shù)據(jù)，在共享文件時(shí)，會自動生成一個URL鏈接，任何人都可以通過這個鏈接進(jìn)入這個共享目錄，而關(guān)鍵問題就在于，這些鏈接所指向的頁面能被搜索引擎收錄并檢索，而這可能會被網(wǎng)絡(luò)攻擊者利用。

通過谷歌、必應(yīng)等搜索引擎，Neis 檢索到了上萬個企業(yè)的“云協(xié)作”的文件共享鏈接，其中不乏一些標(biāo)記有”機(jī)密”、“隱私”等字樣的敏感商業(yè)信息。

他說，攻擊者可以利用這個缺陷來訪問存儲在“云協(xié)作"中的敏感數(shù)據(jù)，這項(xiàng)“云協(xié)作”功能被普遍用于企業(yè)員工之間的協(xié)作辦公，個人用戶也經(jīng)常使用。

默認(rèn)情況下，這個鏈接生成之后，會授權(quán)訪問者查看、下載、上傳、編輯和重命名。

Neis 表示 :攻擊者通過搜索引擎找到一個企業(yè)的“云協(xié)作”頁面后，可以上傳惡意軟件到協(xié)作項(xiàng)目中，然后根據(jù)其中的電子郵件地址來邀請企業(yè)員工加入或者隨意傳播，以實(shí)施網(wǎng)絡(luò)釣魚。

根據(jù)描述設(shè)想的一種攻擊方式，BOX.COM 方面認(rèn)為，這些能被搜索引擎檢索到的頁面，賬戶持有人在第三方網(wǎng)站主動共享的，并非泄露，但他們也表示：我們已經(jīng)聯(lián)系谷歌來刪除這些公共索引，預(yù)計(jì)在短期之內(nèi)完全刪除，此外，我們已經(jīng)重組了所有的分享鏈接來確保之后的公共邀請鏈接不會被展示在Google引擎上。BOX.COM 說，他們將繼續(xù)評估共享鏈接的權(quán)限模型，以確保該功能在保證安全的前提下可以盡其所用。 同時(shí)他們強(qiáng)調(diào)，暴露在搜索引擎下的的共享鏈接的數(shù)量其實(shí)并不多。

外媒 Threatpost 透露其通過搜索引擎檢索到了一些名稱中帶有“機(jī)密“、”私有“字樣的文件，其中有一部分是戴爾科技公司的渠道合作伙伴的相關(guān)數(shù)據(jù)。但是至本文發(fā)布，已經(jīng)無法被檢索到這些鏈接。

戴爾公司在一份聲明中寫道：一些數(shù)量有限的信息在短時(shí)間內(nèi)可以被“出乎意料之外的人”看見，但目前問題已經(jīng)被解決。據(jù)悉，探索傳播公司（ Discovery Communications ）也曾被發(fā)現(xiàn)有大量相關(guān)的文件和視頻項(xiàng)目文件，但是目前所有鏈接均也無法訪問，該公司對此沒有置評。

至于是數(shù)據(jù)泄露或者是主動共享的，小編也不得而知。但是建議大家在保存重要的數(shù)據(jù)盡量不要上傳到網(wǎng)盤中哦，可以把數(shù)據(jù)存放在移動硬盤中，然后用U盤超級加密3000對數(shù)據(jù)進(jìn)行加密，加密后，不受機(jī)器限制，可以在任一臺機(jī)器上使用。既方便使用，又可以保障數(shù)據(jù)安全。

U盤超級加密3000下載頁面：http://wjcam.com/udisk/download.html

cc

收藏 海報(bào)分享