跟據(jù)外媒techcrunch的報(bào)道，由于提供網(wǎng)絡(luò)硬盤服務(wù)的Box在文件訪問權(quán)限配置上的不當(dāng)，導(dǎo)致數(shù)十家公司在不經(jīng)意間泄露了公司和客戶的敏感數(shù)據(jù)

跟據(jù)外媒techcrunch的報(bào)道，由于提供網(wǎng)絡(luò)硬盤服務(wù)的Box在文件訪問權(quán)限配置上的不當(dāng)，導(dǎo)致數(shù)十家公司在不經(jīng)意間泄露了公司和客戶的敏感數(shù)據(jù)。

這一情況由網(wǎng)絡(luò)安全公司Adversis發(fā)現(xiàn)，他們通過對使用Box服務(wù)的數(shù)個(gè)賬號進(jìn)行掃描查找，發(fā)現(xiàn)至少有90家公司的私密文件、文件夾可以被公開訪問。不僅諸如蘋果、探索頻道、施耐德電氣等客戶的文件能被無權(quán)限地訪問，連Box自家的文件也沒能例外。

造成這一現(xiàn)象的原理有些讓人哭笑不得，原本Box對用戶上傳的所有數(shù)據(jù)都設(shè)置為私有，的確不能公開訪問。但是通過鏈接分享文件的方式造成了漏洞，這些鏈接都可以被檢索，于是通過搜索引擎就能訪問到本來私密的，僅限分享到對應(yīng)目標(biāo)的文件。

通過鏈接分享私密文件的方式，在各家網(wǎng)盤服務(wù)中都有使用，不僅是Box等國外的網(wǎng)盤服務(wù)，中國國內(nèi)的百度網(wǎng)盤、騰訊微云、360云盤等服務(wù)也都采用鏈接方式來讓用戶分享文件?，F(xiàn)在的人們也都習(xí)慣了將文件傳到網(wǎng)盤，再通過鏈接把分享分享給他人的方式。

文件分享鏈接本該是成熟的，安全可靠的方式，原本這些鏈接該是僅僅只有得到鏈接的人才可以訪問，不知道鏈接的人想要得到具體鏈接需要花費(fèi)大量功夫。但Box明顯是對訪問權(quán)限的設(shè)計(jì)、鏈接的保護(hù)、搜索引擎的反收錄等工作產(chǎn)生了疏忽，才使得文件泄露事件發(fā)生。

Box的發(fā)言人表示他們會提供更多的措施，諸如給文件或鏈接的權(quán)限設(shè)置更加清晰、給予用戶更多共享文件的操作指引、改進(jìn)管理權(quán)限的策略和引入更多控件等，來讓用戶分享的文件處于合適的安全級別，減少無意中被公開的可能性。

對于使用鏈接分享文件的普通用戶來說，不用過多緊張。和單純通過鏈接就能訪問文件的模式相比，國內(nèi)的大多數(shù)網(wǎng)盤服務(wù)都會要求訪問文件時(shí)輸入對應(yīng)的隨機(jī)密碼，就算不小心公開分享了文件，只有鏈接沒有密碼是無法被人獲取到的。(白徵明)

關(guān)鍵詞： Box 無權(quán)限訪問 文件泄露