Бесплатно Экспресс-аудит сайта:

07.05.2014

Dropbox сообщила об устранении уязвимости в облачном хранилище

Компания Dropbox  сообщила  об устранении уязвимости в облачном хранилище, которая позволяла сторонним пользователям получать несанкционированный доступ к чужим данным. Брешь затрагивала заголовки referer, позволяющие web-сайтам определять источник трафика, будь то поисковая система, закладка или другой ресурс. Уязвимость, присутствовавшая в заголовках referer, делала возможным похищение данных в Dropbox следующим образом:

· Пользователь облачного хранилища отправлял ссылку на документ, содержащий гиперссылку на сторонний web-сайт.

· Пользователь или авторизованный получатель проходил по гиперссылке, содержащейся в документе.

· Заголовок referer раскрывал оригинальную ссылку на сторонний web-сайт.

· Пользователь, имеющий доступ к заголовку (например, web-мастер или сторонний web-сайт), мог получить ссылку на документ.

По словам представителей Dropbox, сообщений об эксплуатации этой уязвимости не поступало, и теперь она закрыта. Они также отметили, что в каких-либо дополнительных действиях со стороны пользователей облачного хранилища необходимости нет.

К документам, которыми обменивались ранее, доступ временно закрыт до дальнейших распоряжений. Компания надеется снять это ограничение и восстановить ссылки, незатронутые уязвимостью, в течение ближайших нескольких дней, а пока пользователи могут заново переслать ссылки на деактивированные документы.