Box-Datenleck: Apple betroffen – im Gegensatz zu anderen Betroffenen aber nur unkritische Daten
Zahlreiche Apple-Firmendateien waren einem Bericht zufolge potenziell einsehbar für nicht autorisierte Nutzer. Der Grund: Apple nutzt die Enterprise-Variante des Cloudspeicher-Anbieters Box – inklusive dessen Möglichkeit, bestimmte Ordner oder einzelne Dokumente per Link freizugeben. Forscher des Sicherheitsunternehmens Adversis fanden kürzlich eine Möglichkeit, über die Funktion des Link-Teilens an Box-Daten zu gelangen, die eigentlich vor fremden Zugriff gesperrt bleiben sollten.
Datenleck bei geteilten LinksAdversis sprach gegenüber
TechCrunch von „hunderttausenden von Dokumenten und Terabytes an Daten“, die über den jeweiligen Box-Account diverser Unternehmen zugänglich für unbefugte Personen seien. Außer Amadeus (Flugreservierungen), Discovery (TV-Sender) und Edelman (Public Relations) ist auch Apple von dem potenziellen Datenleck des Cloud-Anbieters betroffen.
Laut Adversis birgt die Art, wie Box geteilte Links über benutzerdefinierte Domains erstellt, die Gefahr, dass zusätzliche Daten ungewollt zum Vorschein kommen. Sobald ein Link gefunden wurde, konnten die Forscher mithilfe einer Brute-Force-Attacke an andere geheime Links gelangen, die in Subdomains verborgen lagen. Die Sicherheitsexperten empfehlen Box-Administratoren, die verfügbaren Link-Zugänge auf „Personen in ihrem Unternehmen“ zu beschränken, um mehr Datensicherheit zu gewährleisten. Alle beteiligten Firmen haben ihre Box-Accounts nach Bekanntwerden der Gefahr entsprechend neu konfiguriert.
Apple kommt noch glimpflich davonAdversis fand via Brute Force eigenen Angaben zufolge so sensible Daten wie Reisepass-Fotos, Bankkonten, Sozialversicherungsnummern, Passwörter, Mitarbeiterlisten und Finanzunterlagen – darunter Rechnungen, Quittungen und Kundeninformationen. Speziell bei Apple sollen aber „nur“ einige nicht-sensible interne Inhalte wie Logs und regionale Preislisten betroffen sein.
Das Sicherheitsunternehmen wies Box schon vor über einem halben Jahr auf die mögliche Gefahr für Nutzerdaten hin, doch in der Zwischenzeit sei wenig an Verbesserungen passiert, so Adversis – was auch mit der Komplexität des Problems zusammenhänge.