Amaya Tomán Últimamente, debido a la mala seguridad, los datos confidenciales de Apple y otras grandes empresas casi se han hecho públicos. El fallo es una mala configuración del almacenamiento en la nube de Box, que permitía a personas no autorizadas acceder a datos confidenciales. El error fue descubierto por investigadores de seguridad.
Los proveedores de servicios en la nube suelen pregonar la seguridad de su almacenamiento junto con la facilidad de compartir los datos almacenados. Colocar datos en los servidores de estos servicios siempre conlleva un cierto riesgo de descubrimiento y mal uso, por mucho que los operadores intenten protegerlos. También puede suceder que los sensibles se hagan públicos sin el crédito de un tercero.
Podría ser te interesa
David Hanak Investigadores de Adversis recientemente se enteraron, que los datos de algunos de los principales clientes de Box Enterprise están en riesgo. TechCrunch informó que simplemente al usar la función de compartir, los datos mencionados quedaban expuestos a la posibilidad de divulgación. Se trataba literalmente de cientos de miles de documentos y TB de datos de cientos de clientes importantes que utilizaban el servicio Box.
El problema era la forma en que se podían compartir archivos mediante enlaces en dominios personalizados. Una vez que los empleados de Adversis descubrieron el enlace, les resultó fácil aplicar fuerza bruta a otros enlaces secretos en el subdominio.
Podría ser te interesa
Según Adversis, Box recomendó a los administradores de cuentas configurar enlaces compartidos para que solo las personas dentro de la empresa puedan acceder a ellos. De esta forma se debía evitar su exposición al público.
Según Adveris, los datos que fácilmente podrían hacerse públicos y, por tanto, utilizarse indebidamente incluían, por ejemplo, fotografías de pasaporte, números de cuentas bancarias, números de seguridad social o diversos datos financieros y de clientes. En el caso de Apple, se trataba específicamente de carpetas que contenían "datos internos no confidenciales", como listas de precios o archivos de registro.
Otras empresas cuyos datos en el almacenamiento de Box se vieron potencialmente comprometidos incluyen Discovery, Herbalife, Pointcate y la propia Box. Todas las empresas mencionadas ya han tomado las medidas necesarias para corregir el error.
