近日,知名在线数据管理网站BOX.COM被发现其文件共享机制存在安全风险,导致许多企业的部分机密数据和文件可以被谷歌、必应等搜索引擎直接检索。
发现该问题的威胁情报人员 Markus Neis 表示,BOX.COM 在处理云存储账户上存在缺陷,导致一个简单的搜索引擎查询就可以让企业或个人的机密文件被任何人访问。攻击者利用该问题可以访问企业存储在“云协作”上的数据,其中包括戴尔科技集团在内的多家大型公司的数据。
据了解,BOX 的企业网盘在国外相当出名,在中国也拥有一定的用户,它除了提供常见的文件存储、同步功能之外,还提供了一项用于多人共享文件和数据的“云协作”功能,而问题正是出在这一功能上。
根据 Neis 的解释,BOX 提供的“云协作”功能允许用户邀请他人来共享账户下的文件目录和数据,在共享文件时,会自动生成一个URL链接,任何人都可以通过这个链接进入这个共享目录,而关键问题就在于,这些链接所指向的页面能被搜索引擎收录并检索,而这可能会被网络攻击者利用。
通过谷歌、必应等搜索引擎,Neis 检索到了上万个企业的“云协作”的文件共享链接,其中不乏一些标记有”机密”、“隐私”等字样的敏感商业信息。
他说,攻击者可以利用这个缺陷来访问存储在“云协作"中的敏感数据,这项“云协作”功能被普遍用于企业员工之间的协作办公,个人用户也经常使用。
默认情况下,这个链接生成之后,会授权访问者查看、下载、上传、编辑和重命名。
知名网盘被曝数据泄露漏洞 文件共享链接可被检索
Neis 表示 :攻击者通过搜索引擎找到一个企业的“云协作”页面后,可以上传恶意软件到协作项目中,然后根据其中的电子邮件地址来邀请企业员工加入或者随意传播,以实施网络钓鱼。
根据描述设想的一种攻击方式
BOX.COM 方面认为,这些能被搜索引擎检索到的页面,账户持有人在第三方网站主动共享的,并非泄露,但他们也表示:
我们已经联系谷歌来删除这些公共索引,预计在短期之内完全删除,此外,我们已经重组了所有的分享链接来确保之后的公共邀请链接不会被展示在Google引擎上。
BOX.COM 说,他们将继续评估共享链接的权限模型,以确保该功能在保证安全的前提下可以尽其所用。 同时他们强调,暴露在搜索引擎下的的共享链接的数量其实并不多。
外媒 Threatpost 透露其通过搜索引擎检索到了一些名称中带有“机密“、”私有“字样的文件,其中有一部分是戴尔科技公司的渠道合作伙伴的相关数据。
戴尔公司在一份声明中写道:
一些数量有限的信息在短时间内可以被“出乎意料之外的人”看见,但目前问题已经被解决。
据悉,探索传播公司( Discovery Communications )也曾被发现有大量相关的文件和视频项目文件,但是目前所有链接均也无法访问,该公司对此没有置评。
舒尔 Shure SRH1840 头戴式耳机测评报告
不好意思,舒尔SRH1840耳机的这篇测评因为某种原因跳票了,但相信我们,这次跳票是非常值得的。SRH1840虽然发布于六七年前,但仍然是目前舒尔头戴式耳机在售的旗舰型号,国内行货售价4000元人民币以上,美国官网报价374美元[499美元优惠后],当然网络上还有不少不到1000元人民币的诡异假货。感谢网友提供送测样机,这只样机经核实应该来路没有问题。
以舒尔SRH1840为旗舰的头戴式耳机在大概2012年前后上市,在个人消费耳机领域舒尔仍然保持着多年来更擅长动铁入耳式耳塞的品牌形象,头戴式耳机丰富了舒尔的产品线,但这几款头戴式耳机的知名度不算太高,肯定远不及舒尔的SE535、SE846等多单元动铁耳机。
SRH1840耳机外观没有太多需要描述,包装也相当简洁,标配了两根耳机线,和额外的一套天鹅绒材质的耳垫。耳机左右声道分别入线,使用了MMCX的卡扣,可是接插部分结构要内嵌深入进去,所以入耳式耳机一般MMCX插头应该很难适配[顺便说一句,网友送测那根第三方耳机线,声音更为舒展,表现不错]。SRH1840扬声器单元直径40mm,钕磁铁磁钢,使用典型的开放式设计,从耳机单元外侧可以看得很清楚,官方标称SRH1840的阻抗为65欧姆,但灵敏度稍偏低为96dB SPL/mW。耳机的头架最大尺寸并不大,头架顶部使用了两条轻量化处理的样式,耳机的整体重量很轻,只有268克,直观使用感受似乎更显得轻一些。
我们收到网友这只SRH1840已经半战斗成色,所以估计用了不少时间,我们简单煲机大概200小时,煲机时候试听了一下让我们忽视了这款耳机的实力,也导致了前几天测评的跳票。SRH1840这只耳机初听起来毫不张扬,高频解析力也不出色,中低频味道相对清淡,感觉像是一个更为中性的K701.然而,当我们给SRH1840搭配上大功率的耳放,你会发现它的潜力被激发,让我们想到了照片中的最老版本的森海塞尔HD580。当时试听手边没有准备HD580,所以决定跳票进一步对比。HD580没有常备使用,一方面是因为HD580对于大多数消费者来说没什么参考意义,另一方面是因为我们这支HD580内部接线柱有些接触不良,使用起来不太方便。
到底是什么设备激发了SRH1840呢?享声MR1够不够?Monitor 09 Plus够不够?由于我们没有适合SRH1840使用的MMCX平衡耳机线,所以MR1和Monitor 09 Plus的耳机输出都不能喂饱SRH1840,大体表现主要是中频和低频的动态远远不是最佳状态,声音比较飘,不扎实。而在节奏的B-HP耳放下,II档+6dB增益下[前端需要降低输入电压],SRH1840达到了最佳状态。决定跳票的时候,也正是在B-HP耳放下找到的感觉。而后来才决定对比MR1是否合适,但发现在MR1下SRH1840还是过于单薄,和HD580相似度较低;但在B-HP下,大动态下的稳健表现开始有了几分HD580的味道。
对比了一下inner-fidelity的客观测试数据,它们没有早期HD580的数据,只有后期单元上改印HD600字样后的HD580版本,但几项瞬态数据和SRH1840确实有几分相似。
下面测试全部基于Monitor 09平衡输入至节奏幻想曲B-HP耳放[更换1980年NE5532运放前级]。对比耳机选择AKG K701和森海塞尔HD580。我们为什么没有选择比K701更新的耳机,甚至没有使用HD650?一方面,SRH1840的细节、动态等硬素质肯定没有K812这样级别动圈耳机好,另一方面,HD650的风格也和SRH1840有很大差别。选择K701,是因为可能大多数SRH1840用户在没有搭配足够大功率耳放下,这个耳机表现清淡的真有几分像K701。而选择HD580,也是因为在很好的发挥下的SRH1840,有了HD580大气的味道。
