Dropbox behebt Schwachstelle durch Links in geteilten Dokumenten

CloudIT-ManagementIT-ProjektePolitikSicherheitSicherheitsmanagementÜberwachung
Dropbox Logo (Bild: Dropbox)

Einem bestimmten Nutzerkreis zur Verfügung gestellte Dokumente wurden unter Umständen für Betreiber von Webseiten aufrufbar, zu denen sie einen Link enthielten. Der Cloud-Speicherdienst hat die Schwachstelle eingeräumt und behoben. Sicherheitsforscher Graham Cluley bemängelt allerdings ein weiteres Problem, dass Dropbox aber nicht als solches sieht.

Dropbox hat eine Schwachstelle geschlossen, durch die Dokumente oder Ordner, die Nutzer über einen Link mit anderen geteilt hatten, unbeabsichtigt auch Dritten zugänglich wurden. Sofern die berechtigten Nutzer in den Dokumenten auf enthaltenen Hyperlinks klickten, wurde dem Betreiber der aufgerufenen Website mit dem Referrer-Header auch der eigentlich geheime Link zum Dropbox-Dokument übermittelt.

Dropbox behebt Schwachstelle durch Links in geteilten Dokumenten

Dropbox erklärt zwar, es sei nicht bekannt, dass diese Lücke ausgenutzt worden sei. Der Dienst hat aber zunächst alle Zugriffe auf bisher geteilte Dokumente gesperrt. Bei neu geteilten Dokumente soll ndas problem nicht mehr auftreten. Als Übergangslösung für früher geteilte Dokumente empfiehlt das Unternehmen, sie durch einen neuen Link erneut zu teilen. Kunden von Dropbox for Business außerdem die Möglichkeit, bei einem geteilten Link den Zugang auf Mitglieder ihres eigenen Dropbox-for-Business-Teams zu beschränken. Links mit dieser Zugangskontrolle seien nicht betroffen gewesen.

Der Dropbox-Konkurrent Intralinks hat allerdings eine weitere Möglichkeit entdeckt, wie vertraulich geteilte Dropbox-Dokumente Dritten zugänglich werden können. “Während einer routinemäßigen Analyse von Google AdWords und Google Analytics hinsichtlich der Namen von Wettbewerbern (Dropbox und Box) entdeckten wir unabsichtlich voll klickbare URLs zum Zugriff auf diese Dokumente, die uns zu Ordnerinhalten mit teilweise sensiblen Daten führten”, berichtet die Firma.

Sicherheitsexperte Graham Cluley erklärt sich das folgendermaßen: Als Werbepartner von AdWords habe Intralinks Werbung zu den Namen der Mitbewerber geschaltet. Fügte ein Nutzer versehentlich seinen Share-Link in das Suchmaschinen-Eingabefeld statt die URL-Box des Browsers ein ging er als Teil der Referer-URL an den Werbeserver. So kam es, dass Intralinks bei einer Werbekampagne ungewollt über 300 Dokumente zugänglich wurden, darunter mehrere Steuererklärungen, ein Hypothekenantrag, Bankdaten, persönliche Fotos und auch Firmeninformationen.

“Dropbox hat eines der Probleme behoben, aber nicht das andere, das private Dokumente gegenüber Intralinks enthüllte”, wirft Cluley dem Speicherdienst vor. “Das hat mit einem Nutzer zu tun, der einen geteilten Link in eine Suchmaschine eingibt, und die Suchmaschine reicht ihn an den Werbepartner weiter”, wehrte dagegen Dropbox ab. Das will man nicht als Schwachstelle bezeichnen. Das Unternehmen mahnt lediglich “zur Vorsicht, was die Weitergabe von Shared Links an Dritte wie Suchmaschinen angeht.”

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen