Dropbox: Schwachstelle bei Shared Links entdeckt und behoben

Wer Dokumente oder Ordner beim Cloudspeicherdienst Dropbox über einen Link mit anderen teilt, konnte sie unabsichtlich auch gegenüber Dritten enthüllen. Dropbox hat eine Schwachstelle geschlossen, nachdem sie bekannt wurde. Der Sicherheitsforscher Graham Cluley moniert eine weitere und nicht geschlossene Schwachstelle – die das Unternehmen aber nicht als solche sehen will.

Die eingeräumte Lücke entstand, wenn in den jeweiligen Dokumenten Hyperlinks zu anderen Webservern enthalten waren. Beim Klick auf diese erhielten andere Website-Betreiber auch den eigentlich geheimen Shared Link zum Dropbox-Dokument als Referrer-Header und konnten darauf zugreifen. Um das Problem zu beheben, hat Dropbox zunächst alle Zugriffe auf bisher geteilte Dokumente gesperrt.

Neu geteilte Dokumente sollen nicht mehr in dieser Weise anfällig sein. Als vorläufigen Workaround für zuvor geteilte Dokumente empfiehlt das Unternehmen, sie durch einen neuen Link zu teilen. In einem Blogeintrag weist es auf eine weitere Möglichkeit hin, die Benutzern der kostenlosen Version allerdings nicht zur Verfügung steht: „Wenn Sie ein Kunde von Dropbox for Business sind, haben Sie außerdem die Option, bei einem geteilten Link den Zugang auf Mitglieder Ihres eigenen Dropbox-for-Business-Teams zu beschränken. Links mit dieser Zugangskontrolle waren nicht betroffen.“

Der Dropbox-Konkurrent Intralinks entdeckte allerdings zufällig eine weitere Möglichkeit, wie vertraulich geteilte Dropbox-Dokumente gegenüber Dritten enthüllt werden können. „Während einer routinemäßigen Analyse von Google AdWords und Google Analytics hinsichtlich der Namen von Wettbewerbern (Dropbox und Box) entdeckten wir unabsichtlich voll klickbare URLs zum Zugriff auf diese Dokumente, die uns zu Ordnerinhalten mit teilweise sensiblen Daten führten“, berichtet die Firma.

Die Erklärung dafür liefert Sicherheitsexperte Graham Cluley. Als Werbepartner von AdWords hatte Intralinks Werbung zu den Namen der Mitbewerber geschaltet. Fügte ein Nutzer nun versehentlich seinen Share-Link in das Suchmaschinen-Eingabefeld statt die URL-Box des Browsers ein – was offenbar leicht und nicht selten passiert -, ging er als Teil der Referrer-URL an den Werbeserver. So kam es laut Intralinks, dass ihnen bei einer kleinen Werbekampagne unabsichtlich über 300 Dokumente zugänglich wurden, darunter mehrere Steuererklärungen, ein Hypothekenantrag, Bankdaten, persönliche Fotos und sogar Firmeninformationen einschließlich eines Geschäftsplans.

„Dropbox hat eines der Probleme behoben, aber nicht das andere, das private Dokumente gegenüber Intralinks enthüllte“, warf Cluley dem Speicherdienst in seinem Bericht vor. „Das hat mit einem Nutzer zu tun, der einen geteilten Link in eine Suchmaschine eingibt, und die Suchmaschine reicht ihn an an Werbepartner weiter“, wehrte Dropbox ab. „Das ist gut bekannt und wird von uns nicht als Schwachstelle betrachtet. Wir mahnen jeden zur Vorsicht, was die Weitergabe von Shared Links an Dritte wie Suchmaschinen angeht.“

[mit Material von Peter Judge, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de