Box es un servicio de almacenamiento en la nube para empresas utilizado por Apple y otras grandes empresas. Recientemente hemos sabido que estas empresas estarían exponiendo en esta plataforma datos corporativos que incluyen algunos relacionados con clientes y que deben ser confidenciales. Aunque esto no tendría en principio que suponer un problema de seguridad, lo cierto es que una vulnerabilidad descubierta recientemente puede hacer que tenga riesgos reales tal y como informa TechCrunch.
¿Por qué asumen Apple y otras empresas riesgos con Box?
Apple es una de las empresas que utiliza el servicio de almacenamiento en la nube de Box. En este espacio almacenan ficheros con información corporativa que incluyen datos de empleados y clientes. Si bien estos datos son privados de forma predeterminada, pueden ser compartidos con cualquiera a través de un enlace. Precisamente en la funcionalidad del enlace que ofrece Box ha aparecido una vulnerabilidad de la cual ha alertado la empresa de ciberseguridad Adversis.
Gracias a las investigaciones llevadas a cabo por Adversis se ha sabido que Apple y más de 90 empresas que almacenan datos en Box están, sin querer, filtrando datos sensibles de carácter corporativo y también de clientes. Esto al parecer está ocurriendo al compartir enlaces públicos a archivos en sus cuentas de almacenamiento, a los cuales se puede acceder de una forma relativamente sencilla.
Adversis pudo encontrar esta vulnerabilidad usando un script para buscar y enumerar las cuentas de Box con el nombre de las empresas. Así fue como se descubrieron las más de 90 compañías que estarían ‘pecando’ de saltarse las leyes de privacidad sin tan siquiera haber sido conscientes de ello.
Este problema está apareciendo de forma masiva descubriendo datos corporativos de las empresas como:
- Lista de empleados.
- Fotos de carné de empleados.
- Nº de la Seguridad Social de empleados.
- Nº de la cuenta bancaria de empleados.
- Prototipo de tecnología de alto perfil y archivos de diseño.
- Datos financieros, facturas y rastreadores internos de problemas.
- Lista de clientes y actas de reuniones internas.
- Datos informáticos, configuraciones, VPN y diagramas de red.
Box habría sido informado de este problema por primera vez en el mes de septiembre. Sin embargo, pasados ya 6 meses y en vista de que no se ha solucionado el fallo, se ha transmitido esta información a las empresas para que eliminen sus datos de la plataforma y los pongan a buen seguro. No obstante el portavoz de Box, Denis Ron, declaró que están tomando medidas para corregirlo.
Te puede interesar ...
Google Project Zero hace publica una vulnerabilidad detectada en macOS en el mes de noviembre
No sabemos si finalmente Box conseguirá resolver este problema. En cualquier caso es probable que tanto Apple como el resto de empresas pudieran tomar medidas contra ellos por este fallo, más allá de que pudieran prescindir del almacenamiento en esta plataforma.