真可怕！Box网盘配置错误，致苹果等公司文件泄露

跟据外媒techcrunch的报道，由于提供网络硬盘服务的Box在文件访问权限配置上的不当，导致数十家公司在不经意间泄露了公司和客户的敏感数据。

这一情况由网络安全公司Adversis发现，他们通过对使用Box服务的数个账号进行扫描查找，发现至少有90家公司的私密文件、文件夹可以被公开访问。不仅诸如苹果、探索频道、施耐德电气等客户的文件能被无权限地访问，连Box自家的文件也没能例外。

路

造成这一现象的原理有些让人哭笑不得，原本Box对用户上传的所有数据都设置为私有，的确不能公开访问。但是通过链接分享文件的方式造成了漏洞，这些链接都可以被检索，于是通过搜索引擎就能访问到本来私密的，仅限分享到对应目标的文件。

通过链接分享私密文件的方式，在各家网盘服务中都有使用，不仅是Box等国外的网盘服务，中国国内的百度网盘、腾讯微云、360云盘等服务也都采用链接方式来让用户分享文件。现在的人们也都习惯了将文件传到网盘，再通过链接把分享分享给他人的方式。

文件分享链接本该是成熟的，安全可靠的方式，原本这些链接该是仅仅只有得到链接的人才可以访问，不知道链接的人想要得到具体链接需要花费大量功夫。但Box明显是对访问权限的设计、链接的保护、搜索引擎的反收录等工作产生了疏忽，才使得文件泄露事件发生。

路

Box的发言人表示他们会提供更多的措施，诸如给文件或链接的权限设置更加清晰、给予用户更多共享文件的操作指引、改进管理权限的策略和引入更多控件等，来让用户分享的文件处于合适的安全级别，减少无意中被公开的可能性。

对于使用链接分享文件的普通用户来说，不用过多紧张。和单纯通过链接就能访问文件的模式相比，国内的大多数网盘服务都会要求访问文件时输入对应的随机密码，就算不小心公开分享了文件，只有链接没有密码是无法被人获取到的。

[图自adversis]