本文摘要：据外媒techcrunch的报导，由于获取网络硬盘服务的Box在文件采访权限配备上的失当，造成数十家公司在不经意间泄漏了公司和客户的敏感数据。这一情况由网络安全公司Adversis找到，他们通过对用于Box服务的数个账号展开扫瞄查询，找到最少有90家公司的偷窥文件、文件夹可以被公开发表采访。不仅诸如苹果、探索频道、施耐德电气等客户的文件能被无权限地采访，连Box自家的文件也未能值得注意。

据外媒techcrunch的报导，由于获取网络硬盘服务的Box在文件采访权限配备上的失当，造成数十家公司在不经意间泄漏了公司和客户的敏感数据。这一情况由网络安全公司Adversis找到，他们通过对用于Box服务的数个账号展开扫瞄查询，找到最少有90家公司的偷窥文件、文件夹可以被公开发表采访。不仅诸如苹果、探索频道、施耐德电气等客户的文件能被无权限地采访，连Box自家的文件也未能值得注意。

导致这一现象的原理有些让人哭笑不得，原本Box对用户上载的所有数据都设置为私有，的确无法公开发表采访。但是通过链接共享文件的方式造成了漏洞，这些链接都可以被检索，于是通过搜索引擎就能采访到本来偷窥的，仅限于共享到对应目标的文件。

通过链接共享偷窥文件的方式，在各家网盘服务中都有用于，不仅是Box等国外的网盘服务，中国国内的百度网盘、腾讯微云、360云盘等服务也都使用链接方式来让用户共享文件。现在的人们也都习惯了将文件传遍网盘，再行通过链接把共享共享给他人的方式。

文件共享链接就让是成熟期的，安全可靠的方式，原本这些链接该是意味着只有获得链接的人才可以采访，不告诉链接的人想获得明确链接必须花费大量功夫。但Box显著是对采访权限的设计、链接的维护、搜索引擎的反收录于等工作产生了疏失，才使得文件泄漏事件再次发生。

Box的发言人回应他们不会获取更好的措施，诸如给文件或链接的权限设置更为明晰、给与用户更加多共享文件的操作者提示、改良管理权限的策略和引进更加多控件等，来让用户共享的文件正处于适合的安全级别，增加无意中被公开发表的可能性。对于用于链接共享文件的普通用户来说，不必过多紧绷。和全然通过链接就能采访文件的模式比起，国内的大多数网盘服务都会拒绝采访文件时输出对应的随机密码，就算不小心公开发表共享了文件，只有链接没密码是无法被人提供到的。

本文来源：bat365中文官方网站-www.barberinglife.com