Il est assez facile de faucher en douce des documents partagés par des liens Box Enterprise

Mickaël Bazoge |

Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.

Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.

Fouillons un peu dans le dossier Box de cette entreprise…

Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.

Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.

C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.

Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.

En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.

Source
Tags
avatar SyMich | 

Apple utilise des comptes Box???
Ils n'ont pas confiance en iCloud? ??

avatar fte | 

@SyMich

Ah ah ?

avatar huexley | 

Trop souvent en panne

avatar Bigdidou | 

@SyMich

« Ils n'ont pas confiance en iCloud? ?? »

ICloud entreprise ?
Je sais bien qu’Apple est une grande famille, mais quand même...

avatar YuYu | 

@SyMich

iCloud est pensé pour les particuliers, pas pour les entreprises. Il n’est pas étonnant qu’Apple utilise le service d’une autre société

avatar koko256 | 

N'importe quoi. C'est de la bêtise d'avoir autorisé ce type de lien (un peu comme la suite TLS_NULL_WITH_NULL_NULL) et de la bêtise de les utiliser...

avatar Powerdom | 

Cela me rappelle l’application iCloud ? Je crois sur le store il y a quelques années qui permettait d’accéder au dossiers publics de tout le monde.

Il suffisait de chercher un nom au hasard. J’avais ainsi eu accès aux photos du Woz. De Mercedes et de pas mal d’autres dont j’ai oublié les noms.

avatar marenostrum | 

tous les vieux sites ou blogs, avaient ce défaut. il suffisait de connaitre l'architecture du site et on tombait sur des dossiers sans protection. il suffisait de mettre (à la main) dans chaque dossier un fichier index.htlm pour régler ce problème.

avatar AirForceTwo | 

En fait, cela n'a aucun rapport avec le fait qu'un site soit vieux ou non. Il s'agit juste de serveurs Apache dont on a laissé dans le fichier de configuration la commande "Indexes" permettant de naviguer librement dans un répertoire et d'en voir le contenu si aucun fichier index.xyz n'existe.

https://support.qualityunit.com/496941-How-to-disable-directory-browsing-in-apache-configuration

avatar pabar | 

Tant qu'il n'y aura pas de partage de dossier sur iCloud on sera obligé d'utiliser d'autres solutions à moins que ce pb avec Box pousse Apple à le mettre en place.

avatar AirForceTwo | 

Tant qu'Apple ne sortira pas une version pro d'iCloud, ça n'arrivera probablement jamais. Et vu le niveau de responsabilité qu'implique un service Cloud à destination des pros, il n'y a aucune chance qu'Apple sorte un tel service.

Actuellement, en cas de problème avec iCloud, Apple peut systématiquement se retrancher derrière son fameux moto "iCloud n'a pas garantir quoi que ce soit en termes de fiabilité car ce service ne se destine pas aux professionnels".

avatar Fredje_B | 

Il me semble que Synology est tout aussi susceptible d'être attaqué de la même manière si les liens partagés ont été configuré comme public...
La structure est toujours la même : https:///d/f/
A voir si la protection par tentative de nombre d'accès (X essais en moins de X minutes) fonctionne aussi dans ce cas là...
Ca risque d'être beaucoup plus long à attaquer, puisqu'il faut faire un force brut sur une série de chiffre mais ce n'est qu'une question de temps.
J'ai de ce pas désactive la possibilité pour les utilisateurs non-admin de partager des liens publics!

avatar HERVE VILAREM | 

Il est un peu triste, et pour tout dire difficile de voir que, malgré la "science" dont le rêve rend sourd et aveugle, tout se reconstruit, toujours présent.
Je sais je sais c'est de la mauvaise philosophie. Finalement je n'aime pas "la bonne".

CONNEXION UTILISATEUR