Dropbox zneprístupnil niektoré zdieľané dokumenty, mal zraniteľnosť

Značky: bezpečnosťcloud

DSL.sk, 6.5.2014

Dropbox, populárna služba webového úložiska súborov, dnes z dôvodu prítomnej zraniteľnosti ohrozujúcej dôvernosť dokumentov zneprístupnila niektoré zdieľané súbory.

Služba to oznámila v noci na dnes.

Jeden z dvoch možných spôsobov zdieľania súborov a priečinkov na Dropboxe spočíva vo vytvorení zdieľacej URL adresy na súbor v Dropboxe, ktorú môže užívateľ následne zdieľať s ľubovoľným užívateľom aj bez Dropbox účtu. Bezpečnosť takéhoto zdieľania je postavená na neuhádnuteľnosti vygenerovanej náhodnej adresy a je na užívateľovi, komu túto adresu poskytne a ako ju ochráni pred zverejnením alebo únikom.

Dropbox ale trpel zraniteľnosťou v prípade prezerania niektorých typov takto zdieľaných dokumentov na stránkach služby. Ak sa v dokumentoch, ktoré môžu obsahovať odkazy, nachádzal ľubovoľný webový odkaz a užívateľ naňho v náhľade dokumentu na Dropboxe klikol, adresa zdieľaného dokumentu bola webovým prehliadačom poslaná v súlade s HTTP protokolom ako tzv. referer webovému serveru poskytujúcemu stránky na tomto odkaze.

Prevádzkovateľ tohto servera tak získal adresu zdieľaného dokumentu, cez ktorú mohol dokument sprístupniť. V tomto prípade bol za prezradenie adresy na zdieľaný súbor jednoznačne zodpovedný Dropbox a nie užívateľ.

Dropbox, ktorý chybu opravil po upozornení od spoločnosti Intralinks, podľa svojho oznámenia nezaregistroval zneužívanie tejto zraniteľnosti. Problém bližšie nešpecifikovaným spôsobom vyriešil a pri použití odteraz vytvorených adries na zdieľanie sa adresy dokumentov zrejme kliknutím na odkaz v dokumente neprezrádzajú.

V minulosti vytvorené adresy na dokumenty, u ktorých k prezradeniu odkazov mohlo prísť zrejme podľa typu dokumentov, Dropbox aktuálne znefunkčnil. V najbližších dňoch chce opäť obnoviť funkčnosť zdieľacích adries, ktoré reálne nie sú ohrozené. Na základe čoho bude opätovné sprístupnenie posudzovať spoločnosť nespresnila.

Užívatelia samozrejme majú možnosť okamžite si vytvoriť nové adresy pre zdieľanie súborov a priečinkov, u ktorých Dropbox doterajšie adresy znefunkčnil. To ale nie je riešením pre užívateľov a existujúce adresy, ktoré sú už distribuované a bežne využívané.




Najnovšie články:



Diskusia:

..... Od: xvzf | Pridané: 6.5.2014 15:29 Vpodstate mala zranitelnostka, ale pekne od nich ze opravuju aj taketo detaily :) Odpovedať Známka: 6.4 Hodnotiť:

Re: ..... Od: ferkooo | Pridané: 6.5.2014 22:37 toto bi sa v Apple nemochlo stat! Odpovedať Známka: -8.2 Hodnotiť:

Re: ..... Od: chuj | Pridané: 7.5.2014 0:10 *by Odpovedať Známka: -3.3 Hodnotiť:

Re: ..... Od: nahodnemeno | Pridané: 7.5.2014 8:38 V Apple sa neští, v Apple sa ciká. Odpovedať Známka: 6.0 Hodnotiť:

nejdu stiahnut Od: pandora | Pridané: 6.5.2014 15:43 ja len chcem informovat ze niektore dokumenty naozaj nejdu stiahnut. Odpovedať Známka: 8.2 Hodnotiť:

asdff Od: chuj | Pridané: 6.5.2014 18:12 povie mi niekto odkial mam na dropboxe 100GB miesta ? dakujem Odpovedať Známka: 7.1 Hodnotiť:

Re: asdff Od: spion | Pridané: 6.5.2014 18:30 daj meno a heslo a ja ti poviem Odpovedať Známka: 8.5 Hodnotiť:

Re: asdff Od: chuj | Pridané: 6.5.2014 18:45 chuj:neuhadnesTotoHeslo Odpovedať Známka: 0.0 Hodnotiť:

Re: ... Od: Nomen omen | Pridané: 7.5.2014 17:33 Máš pekné a výstižné meno. Odpovedať Hodnotiť:

Re: asdff Od: chuj | Pridané: 7.5.2014 0:12 no nic aspon som sa pochvalil :-P Odpovedať Známka: -3.3 Hodnotiť:

HTTPS Od: cgvhjbknlm | Pridané: 6.5.2014 18:33 Treba pouzivat HTTPS :-) Odpovedať Známka: 0.0 Hodnotiť:

Re: HTTPS Od: lollo hud | Pridané: 6.5.2014 21:27 Co to ma z https ? Referal zasles tak.ci tak Odpovedať Známka: 4.5 Hodnotiť:

Re: HTTPS Od: little bobby tables | Pridané: 7.5.2014 8:44 Pokiaľ má byť URL adresa "tajná", tak bez HTTPS to nejde a nejaké posielanie referera je naozaj len drobnosť. Ďalšia vec je, že pri kliknutí na HTTP odkaz z HTTPS stránky by sa referer posielať nemal (RFC 2616). Takže je tam veľký rozdiel, či je to cez HTTP alebo HTTPS. Odpovedať Známka: 6.0 Hodnotiť:

Re: HTTPS Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 7.5.2014 11:19 A co v pripade linkov na HTTPS? V prvom rade by uz mali vsetci prestat pouzivat/posielat Referera. Je to zbytocne zdrojom mnohych zranitelnosti kazdy rok. Navyse je to evil ktory vymysleli sionisti aby nas mohli vsetkych ocipovat [fun]. Seriozne ludia, vypnite si posielanie Referer-a. Vy ste ti ktori tie linky o sebe prezradzate, takze to silne tvrdenie v clanku ze "je za to jednoznacne zodpovedny Dropbox" nie je celkom koser. Odpovedať Hodnotiť:

Re: HTTPS Od: little bobby tables | Pridané: 7.5.2014 12:18 V prípade linkov na HTTPS sa podľa RFC síce môže referer posielať, ale čo som tak rýchlo pogooglil, tak sa minimálne v niektorých bežných prehliadačoch v takomto prípade tiež neposiela. Vôbec by som sa nečudoval, keby sa v žiadnom majoritnom prehliadači v prípade cross-domain HTTPS requestu referer neposielal nikdy - testovať sa mi to ale nechce. V prvom rade by malo byť použité HTTPS, pretože inak sa k adrese môže dostať v podstate hocikto po ceste (sniffing, proxy, ...), čo je oveľa väčší problém, ako posielanie referera. Takže v prvom rade chyba Dropboxu. Odpovedať Hodnotiť:

Re: HTTPS Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 7.5.2014 21:30 Pokial sa jedna o pouzivanie HTTPS, tam s tebou uplne suhlasim, mala by to byt psia povinnost kazdeho prevadzkovatela (dropbox afaik tiez pouziva https). Pokial by bola URL vyzdradena tym, ze niekto na sieti sniffuje a prevadzkovatel je magor a nema HTTPS, tak je samozrejme na vine. Ak vsak pouzivatel sam vyzradi svoju tajnu URL, je to jeho chyba. Pouzivatelom rozumej Pouzivatel+jeho browser (to je jeho vec ci a aky browser pouziva a ako ho ma nastaveny - za to nemoze byt nikto iny brany na zodpovednost). Odpovedať Hodnotiť:

RefControl Od: sdgsdgsdfgd | Pridané: 6.5.2014 21:53 Treba pouzivat RefControl :-) Odpovedať Známka: 6.7 Hodnotiť:

Re: RefControl Od: xvzf | Pridané: 6.5.2014 22:57 alebo Operu, ktora vsetky tieto zakladne veci umoznuje jednoducho nastavovat :) Odpovedať Hodnotiť:

Re: RefControl Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 7.5.2014 11:36 Diki, nepoznal som. Odpovedať Hodnotiť:

..... (5 bodiek lebo .. šak viete) Od reg.: AeroPo | Pridané: 7.5.2014 3:24 Zneprístupnil ... čo je to sakra za slovo ? Existuje to vôbec alebo je to ďalší DSL skvost ? :P Odpovedať Známka: -6.7 Hodnotiť:

Re: ..... (5 bodiek lebo .. šak viete) Od: Verdi | Pridané: 7.5.2014 7:27 jasne ze to neexistuje. to len kokotko z DSL vymyslel Odpovedať Známka: -6.0 Hodnotiť:

Re: ..... (5 bodiek lebo .. šak viete) Od: tamdaja | Pridané: 7.5.2014 9:35 To je take slovo ktore pouzijes ked sa ti nechce napisat "zakazal pristup" Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár