Мир: В Dropbox и Box обнаружена проблема с генерацией ссылок

1

Пользователи популярных файлообменных сервисов Dropbox и Box получили предупреждения о том, что генерация ссылок на общедоступные данные может подвергать риску данные, так как в генераторах обнаружены базовые уязвимости. Dropbox уже заблокировал функцию генерации публичных ссылок до устранения уязвимости.


Как говорят специалисты, уязвимость связана со ссылкой, которая генерируется сервисом для шаринга документа с неким доверенным (с точки зрения пользователя) источником. Баг был обнаружен компанией Intralink, которая является сторонним поставщиком аналогичного функционала. Специалисты этой компании обнаружили простой способ, в котором ссылки могут быть легко доступны любой третьей стороне, а не только адресованному доверенному источнику.

Таким образом, потенциальные хакеры могут получать доступ к секретным документам пользователей систем удаленного хранения данных. В Intralinks говорят, что баг работает двумя путями. Во-первых, если документ сам по себе содержит ссылку в тексте на внешний сайт, то его можно выловить по реферральным данным, которые сохраняются в статистике сайта (если нажать по ссылке, то сервис хранения без авторизации откроет файл), а во-вторых, если пользователь ставит файл на шаринг в поисковый механизм, то документ может быть доступен через рекламную платформу, например через Google AdWords.

По словам Джона Лэнди, указанная проблема характерна для многих сервисов хранения данных, так как она выходит из самой логики файл-шаринга. Однако в случае с большими сервисами хранения данных, она становится крайне опасной, так как многие пользователи здесь размещают конфиденциальные сведения. В Dropbox заявили, что исправили проблему, изменив алгоритм генерации гиперссылок, однако компания заметила, что теперь все ссылки работают по-новому и ранее выставленные на шаринг документы придется выставлять заново. (Dropbox/NovostIT)