أكد باحثون أمنيون يعملون لدى شركة الأمن السيبراني Adversis أن العشرات من الشركات قد سربت عن غير قصد بيانات الشركات والزبائن الحساسة، وذلك لأن الموظفين يشاركون الروابط العامة للملفات الموجودة في حسابات التخزين السحابية Box، والتي يمكن اكتشافها بسهولة.
وكشفت Adversis عن أن شركات التكنولوجيا الكبرى والشركات العملاقة قد تركت البيانات معرضة للخطر عن غير قصد عبر خدمة التخزين السحابي للمؤسسات.
وبالرغم من أن البيانات المخزنة في حسابات التخزين السحابية المؤسساتية Box خاصة بشكل افتراضي، لكن يمكن للمستخدمين مشاركة الملفات والمجلدات مع أي شخص، مما يجعل الوصول إلى البيانات متاحًا للجميع من خلال رابط واحد.
وأوضحت شركة الأمن السيبراني أن هذه الروابط الخاصة يمكن اكتشافها من قبل الآخرين. ولم يكن حتى موظفي شركة Box أنفسهم محصنين من تسريب البيانات.
واستخدمت Adversis سكربت مفتوح المصدر لمسح حسابات Box وتعدادها مستعينة بقوائم أسماء الشركات وعمليات البحث، ووجدت أكثر من 90 شركة مع مجلدات يمكن الوصول إليها بشكل عام.
موضوعات ذات صلة بما تقرأ الآن:
وقالت الشركة إنها تقدم لمستخدمي Box نصائح حول كيفية تقليل المخاطر، لكن قد لا يعرف العديد من الموظفين أن البيانات الحساسة التي يشاركونها يمكن العثور عليها من قبل الآخرين.
والأسوأ من ذلك، أن بعض المجلدات العامة قد انكشفت وجرى فهرستها من قبل محركات البحث، مما يجعل عملية العثور على البيانات أكثر سهولة.
وأشارت شركة الأمن السيبراني إلى أنه ينبغي على مشرفي Box إعادة تهيئة الوصول الافتراضي للروابط المشتركة إلى “الأشخاص في شركتك” لتقليل التسريب غير المقصود للبيانات للعامة.
ووجدت Adversis صور جوازات السفر، والحسابات المصرفية، وأرقام الضمان الاجتماعي، وكلمات المرور، وقوائم الموظفين، والبيانات المالية مثل الفواتير والإيصالات، وبيانات العملاء ضمن البيانات التي تم العثور عليها.
وتواصلت الشركة مع شركة Box للتحذير من التسريبات للبيانات الحساسة، لكنها أشارت إلى أنه لم يكن هناك تحسن عام يذكر بعد ستة أشهر من الكشف المبدئي.
وقدمت Adversis قائمة بحسابات Box المكشوفة المعروفة، بما في ذلك Amadeus، الشركة المصنعة لنظام حجز الطيران، والتي تركت مجلدًا مليئًا بالمستندات وملفات التطبيقات المرتبطة بشركة الخطوط الجوية السنغافورية.
بينما عرضت شركة آبل عدة مجلدات تحتوي على ما يبدو على بيانات داخلية غير حساسة، مثل السجلات وقوائم الأسعار الإقليمية.
في حين تمتلك ديسكفري Discovery أكثر من عشرة مجلدات، بما في ذلك قاعدة بيانات تضم ملايين الأسماء وعناوين البريد الإلكتروني للعملاء، كما احتوت المجلدات على بعض المعلومات الديموغرافية وملفات مشروعات التطوير، بما في ذلك العقود والمذكرات والمستندات الضريبية.
وكان لدى Edelman، شركة العلاقات العامة العالمية، مقترح مشروع بأكمله للعمل مع قسم النقل الجماعي في مدينة نيويورك، بما في ذلك خطط مفصلة للاقتراح وسير ذاتية للموظفين المحتملين للمشروع، بما في ذلك أسمائهم وعناوين بريدهم الإلكتروني وأرقام الهواتف.
وترك عملاق التغذية Herbalife عدة مجلدات مكشوفة تحتوي على ملفات وجداول بيانات لحوالي 100 ألف عميل، بما في ذلك أسمائهم وعناوين بريدهم الإلكتروني وأرقام هواتفهم.
وعرضت Opportunity International، وهي منظمة غير ربحية تهدف إلى إنهاء الفقر في العالم، قائمة بأسماء الجهات المانحة والعناوين والمبالغ المعروضة في جدول بيانات ضخم.
وتركت شنايدر إلكتريك Schneider Electric عشرات طلبات العملاء في متناول أي شخص، بما في ذلك محطات الضخ للعديد من البلدات والمدن، ويحتوي كل مجلد على مستند “تسلسل العملية”، الذي يتضمن كلمات المرور الافتراضية.
وكان لدى Pointcare، وهي شركة برمجيات لإدارة تغطية التأمين الطبي، الآلاف من أسماء المرضى ومعلومات التأمين المكشوفة، وتضمنت بعض البيانات آخر أربعة أرقام من أرقام الضمان الاجتماعي.
وكشفت United Tissue Network، وهي منظمة غير ربحية للتبرع بكامل الجسم، عن معلومات خاصة بالجهات المانحة ومعلومات شخصية عن المتبرعين في جدول بيانات ضخم، بما في ذلك أسعار أجزاء الجسم.
وقال الباحثون إن شركة Box كشفت عن اتفاقيات عدم الإفصاح الموقعة مع عملائها، بما في ذلك العديد من المدارس الأمريكية، بالإضافة إلى مقاييس الأداء الخاصة بموظفيها.
وقال المتحدث باسم شركة Box، دنيس رون Denis Ron، في بيان: “إننا نأخذ أمان عملائنا على محمل الجد ونوفر ضوابط تسمح لعملائنا باختيار المستوى المناسب من الأمان بناءً على حساسية المحتوى الذي يشاركونه”.
وأضاف أن الشركة تتخذ خطوات لجعل الإعدادات أكثر وضوحًا، كما تساعد المستخدمين على فهم كيفية مشاركة ملفاتهم أو مجلداتهم بشكل أفضل، وتقليل إمكانية مشاركة المحتوى بدون قصد، بما في ذلك تحسين كل من سياسات المشرفين وإدخال عناصر تحكم إضافية للروابط المشتركة.
وأعادت شركات آبل و Amadeus و Box و Discovery و Herbalife و Edelman و Pointcare تهيئة جميع الحسابات الخاصة بهم على الخدمة لمنع الوصول إلى الملفات.