Mais de 90 empresas, incluindo a Apple, tiveram dados internos expostos devido a uma configuração errada de contas enterprise de armazenamento do Box. As empresas entenderam de forma errada como as URLs do Box funcionam. Os usuários podem compartilhar as URLs, o que faz com que arquivos ou pastas fiquem públicas e acessíveis para qualquer pessoa com posse dessas URLs. O serviço também permite que usuários criem URLs customizadas, que podem ser alvos fáceis de brute force. Pesquisadores do Adversis descobriram isso ao adivinhar o URL da Box de empresas populares, o que, de acordo com esses pesquisadores “começou a trazer resultados muito mais rápido do que conseguimos revisar”. Entre os dados encontrados estavam passaportes, Social Security Numbers (CPF nos Estados Unidos), senhas e informações bancárias.

A quantidade e o nível de criticidade das informações variaram de empresa para empresa. A Apple teve pastas internas não-sensíveis divulgadas, enquanto o Discovery Channel acabou revelando milhões de nomes e endereços de clientes. De acordo com os pesquisadores, se a sua empresa utiliza o serviços do Box, existe uma grande probabilidade de dados sensíveis estarem expostos, e você deve imediatamente desabilitar o compartilhamento público de arquivos no serviço.
É importante ressaltar que nada disso se trata de uma falha ou vulnerabilidade no sistema do Box, a documentação do serviço explica claramente como essas URLs funcionam. COntudo, em resposta ao que foi descoberto pela Adversis, a Box tomou algumas atitudes para tornar mais difícil o uso indevido das URLs públicas. Isso inclui desabilitar o compartilhamento público como default, além de requerer privilégios de administrador para realizar essa mudança. A Box também trabalhou para deixar essa funcionalidade mais clara para os clientes.