« Utiliser de façon sécurisée les liens partagés et les URL personnalisées » : ainsi s’intitule le dernier article posté – ce 11 mars 2019 – sur le blog de Box.
Cette publication fait écho à un avertissement émis le même jour sur un autre blog : celui d’Adversis.
La firme américaine spécialisée dans la sécurité informatique revient sur des travaux menés l’an dernier… et qui ont abouti à la découverte de « centaines de milliers de documents » en accès libre.
Ces documents (parmi lesquels figuraient des dossiers RH, des fichiers clients, des informations bancaires ou encore des configurations de systèmes informatiques) étaient hébergés sur Box.
Pour chacun d’entre eux, la fonction « liens partagés » était activée.
Adversis a employé la force brute pour obtenir les URL correspondantes. Sa tâche a été facilitée par le fait que ces adresses – composées par défaut de 32 caractères alphanumériques aléatoires – peuvent être personnalisées.
L’expérimentation s’est concentrée sur les sous-domaines dont disposent les organisations utilisatrices de l’offre Box Enterprise.
Un motif se retrouve dans les chemins d’accès aux fichiers et aux dossiers : https://<nom de la société>.app.box.com/v/<nom du fichier ou du dossier>. C’est par exemple le cas chez la banque SunTrust et le fabricant high-tech Olympus, que Box liste parmi ses références clients.
Le problème était pointé de longue date, comme en témoigne le tweet ci-dessous.
Le 24 septembre 2018, Adversis avait communiqué ses observations à Box, qui avait réagi quelques jours plus tard en mettant à jour sa documentation.
Celle-ci vient d’être actualisée. D’une part pour fournir des conseils et de l’autre, pour annoncer des modifications.
Sur le premier point, Box recommande aux utilisateurs de bien régler les permissions d’accès des liens qu’ils partagent : à tout le monde ? seulement aux membres de l’entreprise ? uniquement aux collaborateurs qui ont les droits sur le dossier ?…
Il est rappelé aux administrateurs la possibilité de paramétrer une politique globale à l’échelle de leur organisation, d’imposer un mot de passe pour les liens partagés et de régler une date d’expiration.
Quant aux modifications, elles consistent en :
Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…