Box.com: Invites zu Cloud-Speichern landeten in Suchmaschinen

Cloud, Wolke, Gewitter Bildquelle: cjohnson7 (CC BY 2.0)
Der Cloud-Dienst Box.com war zuletzt ausreichend schlecht konfiguriert, um sensible Daten von Nutzern schlicht über Suchmaschinen auffindbar zu machen. Von dem Problem waren durchaus nicht nur einzelne private User betroffen, sondern auch große Firmen wie beispielsweise Dell.
Wie bei den meisten anderen Cloud-Speichern ist es für den Account-Inhaber möglich, einzelne Dateien oder Verzeichnisse zur Mitbenutzung durch andere User freizugeben und diese dorthin einzuladen. Box.com generierte dafür spezielle Invite-URLs, die man beispielsweise Kollegen oder Freunden per E-Mail oder Chat zukommen lassen kann.

Beim Klick auf eine solche Adresse landete der eingeladene Nutzer auf einer speziell dafür generierten Webseite, berichtete das Kaspersky-Blog ThreadPost. Das Problem bestand nun darin, dass diese Seiten von den Suchmaschinen indiziert werden konnten. Teilweise war dies auf die Unvorsichtigkeit von Anwendern zurückzuführen, die die Links nicht über geschützte Kommunikationskanäle, sondern relativ offen im Netz weitergaben. In einigen Fällen können es aber auch Zufallstreffer der Suchmaschinen-Bots gewesen sein.

Umfassende Rechte

Wenn Außenstehende nun in den Suchtreffern einen entsprechenden Link erhielten und anklickten, wurden sie mit Editor-Rechten zum jeweiligen Account ausgestattet. Sie konnten also nicht nur die vorhandenen Daten anschauen und herunterladen, sondern auch eigene Dateien hochladen, umbenennen und editieren. Auch das Einladen weiterer User war möglich.

Entdeckt hatte das Problem Markus Neis von der schweizerischen Swisscom. Wie dieser ausführte, konnte er insgesamt um die 10.000 betroffene Accounts ausfindig machen, in die man sich über Suchmaschinen einklinken konnte. Die Angelegenheit hatte er schon vor einiger Zeit gegenüber Box.com kommuniziert und der Betreiber sorgte dafür, dass die Schwachstelle behoben wurde.

Das Problem besteht hier laut Neis keineswegs nur darin, dass Unbefugte möglicherweise Zugriff auf sehr sensible Daten erhalten, die beispielsweise auf den Unternehmens-Accounts zu finden waren. Viele Informationen, die auf dem genannten Weg zugänglich waren, hätten auch eine hervorragende Grundlage für weitergehende Social Engeneering-Angriffe geboten. Möglich wäre auch das Bereitstellen von Malware gewesen, mit der man im Falle von Unternehmen so beispielsweise die Wächter-Systeme an den Eingängen zum Firmennetz überwindet.

Download
Dropbox - Dateien via Cloud teilen und synchronisieren
Cloud, Wolke, Gewitter Cloud, Wolke, Gewitter cjohnson7 (CC BY 2.0)
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 14:35 Uhr Mini PC SSD-Beelink AP34 Desktop PC Win 10/4K mit Intel Apollo Lake N3450 CPU 2,2 GHz, 2M Cache, unterstützt DIY SSD 64GB/128GB/320GB , DDR3 4GB/57,5 ??GB, 1000Mbps LAN, 3 * USB 3.0 ,HDMI, SD, 2.4G/5.8G WiFi, Bluetooth 4.0
Mini PC SSD-Beelink AP34 Desktop PC Win 10/4K mit Intel Apollo Lake N3450 CPU 2,2 GHz, 2M Cache, unterstützt DIY SSD 64GB/128GB/320GB , DDR3 4GB/57,5 ??GB, 1000Mbps LAN, 3 * USB 3.0 ,HDMI, SD, 2.4G/5.8G WiFi, Bluetooth 4.0
Original Amazon-Preis
185,99
Im Preisvergleich ab
?
Blitzangebot-Preis
152,91
Ersparnis zu Amazon 18% oder 33,08
Nur bei Amazon erhältlich

Tipp einsenden