Clouddienst Box geeft gebruikers toegang tot hun afgesloten map aan de hand van een deelbare link. Maar niet alleen de eigenaar van die link heeft dan toegang, ook iedereen die die link kan raden. Dat blijkt niet heel ingewikkeld, ontdekte beveiligingsbedrijf Adversis.

Het bedrijf maakte een script dat scande naar links naar Box-mappen die eigelijk privé moeten zijn. Adversis liet het script zoeken op [bedrijfsnaam].app.box.com/v/[bestandsnaam]. Door in dat standaardformaat van deelbare links maar vaak genoeg te proberen met verschillende namen van bedrijven en bestanden, kwamen er verschillende resultaten.

Apple & Discovery Channel

Adversis stuitte uiteindelijk op vooral openbare informatie, maar ook was ‘een aanzienlijk deel gevoelig’. Het gaat daarbij om foto’s van paspoorten, details over prototypes van techbedrijven, identificatienummers van medewerkers, financiële documenten, interne IT-data en meer.

Lees verder op Bright.nl