Box sửa lỗ hổng bảo mật trong ứng dụng đồng bộ cho phiên bản máy tính để bàn của MAC

Dịch vụ lưu trữ file và chia sẻ trực tuyến Box đã vá các phiên bản Mac của ứng dụng máy tính để bàn của mình sau khi một nhà phát triển phát hiện ra khả năng các bit nhạy cảm của dữ liệu bị “phơi bày”, bao gồm các API key, ID người dùng nội bộ, các URL và mật khẩu.

Pepijn Bruienne, một nhà phát triển Mac và chuyên viên hoạt động cao cấp tại Đại học Michigan, người đã tìm ra vấn đề, cho biết, người dùng Mac cần đảm bảo họ đang sử dụng phiên bản cập nhật 4.0.6035.

Bruienne viết trong một bài đăng blog, lỗ hổng này có thể không phải chủ ý của Box. Ông đã báo cáo vấn đề cho công ty vào đầu tháng 1. Box phản hồi lại cho ông vào hôm thứ sáu (6/2) rằng họ đã phát hành một phiên bản cập nhật.

Box Sync là phiên bản máy tính để bàn của ứng dụng phổ biến được sử dụng để đồng bộ hóa và chia sẻ các tập tin trên thiết bị. Bruienne vào mã Box Sync để tìm kiếm cách sử dụng ứng dụng trên quy mô lớn tốt hơn.

“Nếu bạn là một quản trị Mac phụ trách ngay cả một môi trường triển khai nhỏ, bạn có thể biết nó triển khai ứng dụng Box Sync và quản lý các thiết lập của nó dài dòng thế nào”, Bruienne viết.

Trong quá trình làm việc đó, ông tình cờ phát hiện ra những thứ có vẻ là các tập tin nhạy cảm trong một module có tên gọi “conf”, trong đó có cặp key và value, ông cho biết thêm.

Điều nguy hiểm là sự rò rỉ dữ liệu có khả năng có thể cung cấp cho một hacker đủ thông tin để khởi động một cuộc tấn công chống lại Box.

Bruienne viết ông đã không lấy những thông tin này. “Để được rõ ràng, tôi đã không cố gắng sử dụng bất kỳ thông tin nào mà tôi tìm thấy để đạt được quyền truy cập vào bất kỳ hệ thống Box nào”, ông viết

Pcworld