Data van onder meer Apple gelekt door verkeerd geconfigureerd Box-account

Apple, Box

Tientallen bedrijven hebben per ongeluk gevoelige bedrijfs- en gebruikersdata gelekt door een menselijke fout. Werknemers bleken publiekelijk toegankelijke linkjes te delen naar bestanden in hun Box-accounts, die eenvoudig te ontdekken waren. Box is een dienst waar je bestanden kunt opslaan en delen met anderen. Dat meldt TechCrunch.

De ontdekking werd gedaan door beveiligingsbedrijf Adversis. Diverse bedrijven – waaronder Apple, Discovery Channel en Box zelf – gebruikten een verkeerde instelling voor de deellinkjes. Daardoor werden de URL’s voor iedereen toegankelijk, en volgens Adversis waren ze ook nog eens eenvoudig te vinden door anderen.

Gevonden data

Het bedrijf gebruikte zelf een script om te scannen naar de Box-accounts van diverse bedrijven en openbare linkjes. Uiteindelijk vonden ze 90 bedrijven met publiekelijk toegankelijke mappen. Daarin stonden onder meer paspoortfoto’s, burgerservicenummers en financiĆ«le data. Ook werden prototypes en ontwerpen van technologie gevonden.

Van Apple waren diverse mappen inzichtelijk. Die mappen leken niet-gevoelige interne data te bevatten, zoals logs en regionale prijslijsten. Discovery Channel had een groter probleem: in ruim tien mappen stonden onder meer namen en e-mailadressen van miljoenen klanten.

In openbare mappen van Box zelf stonden onder meer ondertekende geheimhoudingsverklaringen van hun klanten, inclusief die van diverse Amerikaanse scholen. Ook stond er data in over de prestaties van de werknemers.

Lek gedicht

Het probleem is overigens eenvoudig te voorkomen door de standaard toegang voor gedeelde linkjes aan te passen naar “Mensen in jouw bedrijf”. Amadeus, Apple, Box, Discovery, Herbalife, Edelman en PointCare hebben hun accounts inmiddels anders ingesteld, zodat er geen data meer gelekt wordt.

Foto: Shutterstock.com