オンラインストレージサービスBox.com(Enterpriseアカウント)を利用している企業は、設定によっては、機密情報等非公開の筈のデータも公開してしまっているかもしれません。
Box.comにおいて、ファイルやフォルダの共有リンクにデフォルトのアクセスレベル「社内のユーザー」を設定せず、新しく作成されるすべてのリンクが一般公開にしている場合に発生します。
社内ファイルを誤って公開した企業には、AppleやDiscovery Channelなど大手企業からBox自体も含まれていたそうです。
※現在ではほとんど修正されているとのことです。
Boxは2018年9月に顧客に対して、共有リンクのアクセス権についての注意を通知しました。
Boxに限らずGoogleDrive等クラウドサービスでは、アクセス権の誤った設定により機密情報が外部に漏れてしまうトラブルはよく起こります。
ローカルで使用しているファイルサーバーやNASと異なり、「一般公開」や「リンクを知っている人のみに公開」という馴染みの薄いアクセス権に引っかかる事が多いようです。
例えばGoogleドライブでは、特定のユーザーと共有しても「共有はオフ」扱いとなり、かなり紛らわしいアクセス権といえます。ポイントは「公開」と「共有」は別々に考えるとよいでしょう。
※参考サイト
Googleスプレッドシートで情報が漏れる?
詳しくはこちら
多くの企業がBoxアカウント経由で機密データを誤って公開–Adversisが報告書 – ZDNet Japan
