Box-Datenleck: Apple betroffen – im Gegensatz zu anderen Betroffenen aber nur unkritische Daten

Zahlreiche Apple-Firmendateien waren einem Bericht zufolge potenziell einsehbar für nicht autorisierte Nutzer. Der Grund: Apple nutzt die Enterprise-Variante des Cloudspeicher-Anbieters Box – inklusive dessen Möglichkeit, bestimmte Ordner oder einzelne Dokumente per Link freizugeben. Forscher des Sicherheitsunternehmens Adversis fanden kürzlich eine Möglichkeit, über die Funktion des Link-Teilens an Box-Daten zu gelangen, die eigentlich vor fremden Zugriff gesperrt bleiben sollten.


Datenleck bei geteilten Links
Adversis sprach gegenüber TechCrunch von „hunderttausenden von Dokumenten und Terabytes an Daten“, die über den jeweiligen Box-Account diverser Unternehmen zugänglich für unbefugte Personen seien. Außer Amadeus (Flugreservierungen), Discovery (TV-Sender) und Edelman (Public Relations) ist auch Apple von dem potenziellen Datenleck des Cloud-Anbieters betroffen.

Laut Adversis birgt die Art, wie Box geteilte Links über benutzerdefinierte Domains erstellt, die Gefahr, dass zusätzliche Daten ungewollt zum Vorschein kommen. Sobald ein Link gefunden wurde, konnten die Forscher mithilfe einer Brute-Force-Attacke an andere geheime Links gelangen, die in Subdomains verborgen lagen. Die Sicherheitsexperten empfehlen Box-Administratoren, die verfügbaren Link-Zugänge auf „Personen in ihrem Unternehmen“ zu beschränken, um mehr Datensicherheit zu gewährleisten. Alle beteiligten Firmen haben ihre Box-Accounts nach Bekanntwerden der Gefahr entsprechend neu konfiguriert.

Apple kommt noch glimpflich davon
Adversis fand via Brute Force eigenen Angaben zufolge so sensible Daten wie Reisepass-Fotos, Bankkonten, Sozialversicherungsnummern, Passwörter, Mitarbeiterlisten und Finanzunterlagen – darunter Rechnungen, Quittungen und Kundeninformationen. Speziell bei Apple sollen aber „nur“ einige nicht-sensible interne Inhalte wie Logs und regionale Preislisten betroffen sein.

Das Sicherheitsunternehmen wies Box schon vor über einem halben Jahr auf die mögliche Gefahr für Nutzerdaten hin, doch in der Zwischenzeit sei wenig an Verbesserungen passiert, so Adversis – was auch mit der Komplexität des Problems zusammenhänge.

Kommentare

void
void12.03.19 09:02
Hoffen wir, dass unter den Betroffenen viele Leute bzw. Unternehmen Cryptomator und Co eingesetzt haben. Genau bei derartigen Vorfällen hilft nur, Daten selbst zu verschlüsseln.
Developer of the Day 11. Februar 2013
0
My2Cent12.03.19 09:27
Selbt verschlüsseln ist prima.
Aber im Artikel steht, dass das Problem bei „geteilten Links“ auftritt.
Wenn aber Informationen geteilt werden sollen, dann wird's mit selbst verschlüsseln problematisch.
+2
tranquillity
tranquillity12.03.19 09:30
Wenn man vernünftig Dateien aus iCloud teilen könnte, müsste Apple auch nicht mit Box arbeiten. Das ist leider auch so eine Baustelle, wo Apple einfach nicht weiter kommt. Schon bei Erscheinen von iCloud Drive hoffte ich, dass es Dropbox ersetzen könnte. Aber weit gefehlt.
+6

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen