Dropbox dicht lek in bestandsdeling
Dropbox heeft alle links naar gedeelde bestanden gereset, nadat bleek dat die onbedoeld konden uitlekken via een kwetsbaarheid in zijn cloudopslagdienst.
Gebruikers kunnen links naar een bestand of map in hun Dropbox delen met anderen om hen ook toegang te geven tot de documenten in kwestie. Bestanden die op deze manier worden gedeeld zijn in principe alleen toegankelijk voor mensen met de link.
[related_article id=”161920″]
IntraLinks, een concurrent van Dropbox, ontdekte echter dat de links in het volgende scenario onbedoeld konden uitlekken:
- Een gebruiker deelt een link naar een document dat een hyperlink naar een externe website bevat.
- De ontvanger klikt op de hyperlink in het document.
- De link naar het document wordt onthuld in de referer header van de externe website. De referer header wordt door een browser meegestuurd naar een gelinkte website, zodat die kan zien van welke URL de bezoeker afkomstig is.
- Iemand met toegang tot deze referer header (bijvoorbeeld de webmaster van de externe website) kan het document nu ook bekijken.
Hoewel Dropbox er geen weet van heeft dat het lek in het wild is misbruikt, heeft het bedrijf alle links die dateren van voor 5 mei onmiddellijk gereset. Vervolgens werd het lek gedicht, zodat nieuwe links niet langer kwetsbaar zijn. Volgens IntraLinks zou ook Box.net getroffen zijn door het probleem, maar die cloudopslagdienst heeft voorlopig nog niet gereageerd op het lek.
