Dropbox: Schwachstelle bei Shared Links entdeckt und behoben

Wer Dokumente oder Ordner beim Cloudspeicherdienst Dropbox über einen Link mit anderen teilt, konnte sie unabsichtlich auch gegenüber Dritten enthüllen. Dropbox hat eine Schwachstelle geschlossen, nachdem sie bekannt wurde. Der Sicherheitsforscher Graham Cluley moniert eine weitere und nicht geschlossene Schwachstelle – die das Unternehmen aber nicht als solche sehen will.

Die eingeräumte Lücke entstand, wenn in den jeweiligen Dokumenten Hyperlinks zu anderen Webservern enthalten waren. Beim Klick auf diese erhielten andere Website-Betreiber auch den eigentlich geheimen Shared Link zum Dropbox-Dokument als Referrer-Header und konnten darauf zugreifen. Um das Problem zu beheben, hat Dropbox zunächst alle Zugriffe auf bisher geteilte Dokumente gesperrt.

Neu geteilte Dokumente sollen nicht mehr in dieser Weise anfällig sein. Als vorläufigen Workaround für zuvor geteilte Dokumente empfiehlt das Unternehmen, sie durch einen neuen Link zu teilen. In einem Blogeintrag weist es auf eine weitere Möglichkeit hin, die Benutzern der kostenlosen Version allerdings nicht zur Verfügung steht: „Wenn Sie ein Kunde von Dropbox for Business sind, haben Sie außerdem die Option, bei einem geteilten Link den Zugang auf Mitglieder Ihres eigenen Dropbox-for-Business-Teams zu beschränken. Links mit dieser Zugangskontrolle waren nicht betroffen.“

Der Dropbox-Konkurrent Intralinks entdeckte allerdings zufällig eine weitere Möglichkeit, wie vertraulich geteilte Dropbox-Dokumente gegenüber Dritten enthüllt werden können. „Während einer routinemäßigen Analyse von Google AdWords und Google Analytics hinsichtlich der Namen von Wettbewerbern (Dropbox und Box) entdeckten wir unabsichtlich voll klickbare URLs zum Zugriff auf diese Dokumente, die uns zu Ordnerinhalten mit teilweise sensiblen Daten führten“, berichtet die Firma.

Die Erklärung dafür liefert Sicherheitsexperte Graham Cluley. Als Werbepartner von AdWords hatte Intralinks Werbung zu den Namen der Mitbewerber geschaltet. Fügte ein Nutzer nun versehentlich seinen Share-Link in das Suchmaschinen-Eingabefeld statt die URL-Box des Browsers ein – was offenbar leicht und nicht selten passiert -, ging er als Teil der Referrer-URL an den Werbeserver. So kam es laut Intralinks, dass ihnen bei einer kleinen Werbekampagne unabsichtlich über 300 Dokumente zugänglich wurden, darunter mehrere Steuererklärungen, ein Hypothekenantrag, Bankdaten, persönliche Fotos und sogar Firmeninformationen einschließlich eines Geschäftsplans.

„Dropbox hat eines der Probleme behoben, aber nicht das andere, das private Dokumente gegenüber Intralinks enthüllte“, warf Cluley dem Speicherdienst in seinem Bericht vor. „Das hat mit einem Nutzer zu tun, der einen geteilten Link in eine Suchmaschine eingibt, und die Suchmaschine reicht ihn an an Werbepartner weiter“, wehrte Dropbox ab. „Das ist gut bekannt und wird von uns nicht als Schwachstelle betrachtet. Wir mahnen jeden zur Vorsicht, was die Weitergabe von Shared Links an Dritte wie Suchmaschinen angeht.“

[mit Material von Peter Judge, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Mai-Patchday: Microsoft schließt zwei aktiv ausgenutzte Zero-Day-Lücken

Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…

3 Stunden ago

Firefox 126 erschwert Tracking und stopft Sicherheitslöcher

Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…

5 Stunden ago

Supercomputer-Ranking: Vier europäische Systeme in den Top Ten

Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…

19 Stunden ago

Angriffe mit Banking-Malware auf Android-Nutzer nehmen weltweit zu

Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…

20 Stunden ago

Künstliche Intelligenz fasst Telefonate zusammen

Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.

24 Stunden ago

MDM-Spezialist Semarchy stellt Data-Intelligence-Lösung vor

Als Erweiterung von Master-Data-Management ermöglicht es die Lösung, den Werdegang von Daten verstehen und sie…

1 Tag ago