Le service Box propose à ses clients (particuliers et professionnels), de stocker leurs données en ligne de façon sécurisée. L'idée est de permettre aux grandes entreprises de protéger leurs données, dans la plupart du temps confidentielles, dans un espace sécurisé, mais consultable à tout moment grâce à la puissance du Cloud.
Malheureusement, la sécurité du service a récemment fait défaut, et pendant un temps, les données d'une centaine d'entreprises ont été accessibles publiquement.
Parmi les sociétés concernées, on retrouve Apple, le spécialiste de la réservation de vols Amadeus ou encore le réseau télévisé Discovery. Selon la société de sécurité Adversis, les données d'Apple étaient anecdotiques tandis que pour d'autres entreprises, les données affichées en clair concernaient des adresses mail et numéros de téléphone de milliers de clients abonnés.
Il ne s'agit pas d'une faille à proprement parler, mais d'un problème de conception de l'interface de Box. Pour accéder aux contenus sécurisés, il faut ainsi soit posséder des identifiants spécifiques, soit disposer directement d'une URL d'un dossier partagé.
Ce sont certaines de ces URL qui ont été partagées par des employés indélicats sur certains sites, et qui ont ensuite été indexées par les moteurs de recherche. Box reconnait par ailleurs que l'option de partage sans protection était activée par défaut sur son service, ce qui n'a évidemment pas aidé. Des mesures ont été prises pour éviter que cela ne se reproduise à l'avenir.
Box a présenté ses excuses et annoncé mettre en oeuvre des formations sur l'utilisation des options de confidentialité sur son service.