Ricordo la nascita del servizio Box. Nato da un progetto universitario, nel 2005 era una sorta di alternativa a Dropbox. Nel tempo, però, Box ha compreso che Dropbox avanzava troppo velocemente presso l’utenza customer, quindi ha deciso di cambiare modello di business e concentrarsi sulle aziende.
Ad oggi moltissime aziende, tra cui Apple, usano Box per far circolare documenti interni, conservare file nel cloud e condividere documenti molto grandi verso l’esterno con dei link. Il problema sono proprio questi link.
Come ha scoperto la società di ricerca per la sicurezza Adversis, infatti, i link per la condivisione dei documenti consentivano di arrivare alla fonte della cartella, consentendo di vedere tutto il contenuto e non solo il file condiviso.
Sarebbero centinaia di migliaia i documenti esposti ad accesso non consentito, per diversi terabyte di dati. In base ai test di penetrazione, Adversis ha potuto accedere a liste di dipendenti, dati finanziari, fotografie, numeri di conti correnti, configurazioni VPN, liste di clienti e così via.
Box ha pubblicato nel suo blog una guida che spiega come rendere i link sicuri e come evitare di rendere pubblici dei documenti.