Dropbox сообщила об устранении уязвимости в облачном хранилище

Dropbox сообщила об устранении уязвимости в облачном хранилище

Брешь, затрагивавшая заголовки referer, делала возможным похищение данных в Dropbox.

Компания Dropbox  сообщила  об устранении уязвимости в облачном хранилище, которая позволяла сторонним пользователям получать несанкционированный доступ к чужим данным. Брешь затрагивала заголовки referer, позволяющие web-сайтам определять источник трафика, будь то поисковая система, закладка или другой ресурс. Уязвимость, присутствовавшая в заголовках referer, делала возможным похищение данных в Dropbox следующим образом:

· Пользователь облачного хранилища отправлял ссылку на документ, содержащий гиперссылку на сторонний web-сайт.

· Пользователь или авторизованный получатель проходил по гиперссылке, содержащейся в документе.

· Заголовок referer раскрывал оригинальную ссылку на сторонний web-сайт.

· Пользователь, имеющий доступ к заголовку (например, web-мастер или сторонний web-сайт), мог получить ссылку на документ.

По словам представителей Dropbox, сообщений об эксплуатации этой уязвимости не поступало, и теперь она закрыта. Они также отметили, что в каких-либо дополнительных действиях со стороны пользователей облачного хранилища необходимости нет.

К документам, которыми обменивались ранее, доступ временно закрыт до дальнейших распоряжений. Компания надеется снять это ограничение и восстановить ссылки, незатронутые уязвимостью, в течение ближайших нескольких дней, а пока пользователи могут заново переслать ссылки на деактивированные документы.     

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!