Dropbox устранил уязвимость, открывавшую веб-мастерам приватные документы пользователей

Облачный файлообменник Dropbox исправил уязвимость, позволявшую посторонним пользователям находить и открывать ссылки на документы, которые им не предназначались. Сообщение об устранении бага появилось на официальном сайте сервиса.

Баг в Dropbox был связан со ссылками на загруженные на сервис файлы и документы. Такие ссылки пользователи Dropbox могут генерировать автоматически нажатием одной кнопки. После того, как ссылка сгенерирована, её можно отравить получателю, который, в свою очередь, может просмотреть в браузере предназначенный ему документ или скачать его.

Если в отправленном документе содержится внутренняя ссылка на какой-либо сторонний сайт, администратор этого сайта может при желании получить доступ ко всему отправленному через Dropbox файлу. Кликая в режиме просмотра в браузере по ссылке в документе, пользователь переходит на указанный в ней ресурс. Ссылка на сам документ в тот же момент отправляется в базу данных этого сайта, как часть статистики реферального трафика. После этого, администратор сайта, обнаруживший такую ссылку в статистике переходов, теоретически может просмотреть весь отправленный через Dropbox документ. 

Тот же механизм срабатывал и при другом варианте развития событий. Как выяснилось, часть пользователей файлообменника при получении от кого-то ссылки на файл не переходила по ней напрямую, а вбивала её в поисковую строку Google. Основная часть ссылки Dropbox состоит из автоматически сгенерированной и ничего не значащей последовательности букв и цифр. Однако начальная часть состоит из слова «dropbox».

При копировании ссылки в поисковую строку Google, поисковик воспринимает её как поисковый запрос, содержащий слова «dropbox» или «box». В результате, ссылка на файл попадает в отчет о реферальном трафике, отправляемый Google всем рекламодателям, заказавшим рекламу при поисковом запросе по словам «dropbox», «box» и так далее. Таким образом, к примеру, несколько конфиденциальных пользовательских файлов удалось получить компании IntraLinks, конкуренту Dropbox, впервые указавшему на наличие уязвимости.

Представители Dropbox заверили пользователей, что в настоящее время приняты все необходимые меры по устранению последствий обнаруженной ошибки. Ссылки, которые раньше могли стать причиной утечки из Dropbox той или иной персональной информации, временно деактивированы.

По данным «Би-би-си», схожая уязвимость также могла затронуть пользователей другого файлообменника — Box. Представители Box, однако, пока никак не прокомментировали информацию о возможном наличии бага.

Проведенная TJournal проверка ещё одного файлообменного сервиса — Google Drive — уязвимостей, схожих по принципу работы с той, что была найдена в Dropbox, не выявила. 

«Облачный» сервис для хранения и обмена файлами Dropbox был запущен в 2008 году. Сервис позволяет бесплатно хранить «в облаке» два гигабайта информации. Увеличь объём хранилища можно либо купив платную подписку, либо пригласив на сервис друзей, ещё не пользующихся Dropbox. В начале апреля создатели Dropbox представили отдельное приложение под названием Carousel, предназначенное для хранения фотографий и видео на протяжении всей жизни пользователя. Кроме того, Dropbox также принадлежит мобильное приложение Mailbox, оптимизирующее работу с электронной почтой.