Un problema de configuración de cuentas de Box expone datos de compañías como Apple o Herbalife

Box es uno de los servicios de almacenamiento en la nube más utilizados por grandes compañías, particularmente en su modalidad 'Enterprise' para empresas. Un análisis de seguridad realizado por Adversis y del que informa TechCrunch muestra que, si bien el servicio no ha sufrido ninguna brecha de seguridad que se conozca, la forma en que funcionan sus carpetas compartidas ha expuesto muchos datos de grandes empresas, algunos de ellos considerados muy sensibles.

Adversis afirma haber encontrado cientos de fotos de pasaportes, números de seguridad social y de cuentas bancarias, diseños de prototipos de alta tecnología, listados de empleados, datos financieros, facturas, listas de clientes, archivos de reuniones, así como bases de datos con nombres, números de teléfono y direcciones de correo electrónico de clientes.

Box expone una gran cantidad de datos, pero no es un bug

Imagen con datos expuestos, encontrados por Adversis.

Gracias a la lista de compañías afectadas que Adversis ha proporcionado a TechCrunch podemos saber que el problema ha afectado a gigantes como Apple, Herbalife, Schneider Electric, Discovery, Edelman o Pointcare. Algunos de ellas, como los de Cupertino, han visto expuestos datos poco sensibles como registros o listados de precios por regiones, mientras que las carpetas de Schneider Electric o Herbalife sí que contenían información relevante. En el caso de los primeros, documentos con contraseñas y con contraseñas de acceso a puertas traseras, y en el caso de los segundos datos en hojas de cálculo de 100.000 usuarios, con nombres, direcciones de correo electrónico y números de teléfono.

Y pese a todo, en la información proporcionada por Adversis se habla de que lo que permite acceder a todos esos datos es "una función y no un bug". ¿Cómo se explica? Fácilmente, según la forma de funcionamiento de Box. Cuando usuarios empresariales comparten datos contenidos en el servicio lo hacen, por defecto, con enlaces públicos. Para que no sea así, los administradores tienen que establecer que todo lo que se comparta sea bajo la opción para que los archivos sólo sean visibles por "Personas de tu compañía".

No se trata de una brecha de seguridad, sino de supuesta mala configuración de permisos de carpetas públicas

Al compartirse de forma pública, y encontrarse fácilmente qué compañías utilizan el servicio haciendo pruebas en una dirección genérica como "https://nombredelacompañía.account.box.com", pudieron rastrear fácilmente carpetas y archivos mediante fuerza bruta. Realizando un escaneo poco agresivo, en los dos primeros días ya habían conseguido miles de archivos y varios terabytes de información, mucha de ella sensible, como hemos mencionado. Adversis ha publicado en GitHub PandorasBox, su herramienta de escaneo de cuentas de Box.

El problema afectó incluso a la propia Box, que junto a Amadeus, Apple, Discovrey, Herbalife, Edelman o Pointcare ya han modificado la configuración de su cuenta tras ser contactados por TechCrunch, lo que supone que los archivos ya no son accesibles.

Qué dice Box sobre "la función"

Desde Genbeta nos hemos puesto en contacto con Box, y la compañía nos ha respondido con el siguiente comunicado:

Nos tomamos muy en serio la seguridad de nuestros clientes y proporcionamos controles que les permiten elegir el nivel de seguridad adecuado en función de la sensibilidad del contenido que comparten. En algunos casos, los usuarios pueden querer compartir archivos o carpetas ampliamente y establecer los permisos para un enlace personalizado o compartido a público o "abierto". Estamos tomando medidas para que estas configuraciones sean más claras y ayuden a los usuarios a comprender mejor cómo se pueden compartir sus archivos o carpetas, y reducir la posibilidad de que el contenido se comparta de forma involuntaria, lo que incluye tanto la mejora de las políticas de administración como la introducción de controles adicionales para los enlaces compartidos.

La compañía insta también a leer un comunicado donde detallan cómo configurar las cuentas en función de la seguridad deseada por cada compañía, y afirman estar haciendo mejoras para mejorar el conocimiento del usuario final, en las políticas para administradores que gestionan enlaces públicos y en más controles para detener accesos no consentidos.

Box afirma que modificará la política por defecto de enlaces compartidos a la opción visible por "Personas de tu compañía", y esto sólo podrá ser cambiado por administradores

Como vemos, la compañía no desmiente que con la configuración que presentan algunas cuentas, y sobre todo con cómo algunas empresas utilizan, los enlaces no sean fácilmente encontrables, particularmente cuando se comparten enlaces con URLs personalizadas, que no son las pensadas para llevar a archivos sensibles privados. Para este cometido, Box afirma tener enlaces compartidos que incluyen 32 caracteres alfanuméricos. Eso sí, si estos se publican en una web o listado, en buscador los indexará.

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta