Die erste Dropbox Sicherheitslücke wurde mittlerweile von Dropbox geschlossen. Das Problem trat explizit nur bei geteilten Inhalten mit externen Verweisen auf, sodass Dritte unter Umständen auf geheime Verknüpfungen schließen konnten.
Der Sicherheitsforscher Graham Cluley machte das Unternehmen Dropbox darauf aufmerksam, dass nebst der bereits geschlossenen Sicherheitslücke eine weitere Sicherheitslücke existiert. Augenscheinlich sieht Dropbox die neue Sicherheitslücke nicht als Problem an und hat dem entsprechend bisher nicht reagiert.
Dropbox-Sicherheitslücke dank Links zu externen Webseiten?
Kurioserweise war die Sicherheitslücke erst dann aktiv, wenn die geteilten Dokumente Verweise zu externen Webseiten erhielten, sobald der Link innerhalb des Dokuments geöffnet wurde, übergab Dropbox der verlinkten Webseite den Teilen-Pfad zum Dokument. Anhand des Referrer wird die Internetadresse der Webseite angegeben, über die eine Person auf die verlinkte Webseite gelangt ist.
Nach eigenen Angaben konnte Dropbox nicht in Erfahrung bringen, ob die Sicherheitslücke aktiv ausgenutzt wurde und dadurch Schäden entstanden sind. Alte Freigabe-Links, die durch die Sicherheitslücke betroffen sind, wurden umgehend von Dropbox deaktiviert. Der Fehler sei soweit behoben und Dropbox-Nutzer könnten den Dienst in gewohnter Qualität einsetzen.
Eine weitere Sicherheitslücke bei Dropbox
Wie der Sicherheitsforscher Graham Cluley weiter berichtet, gibt es allerdings noch eine weitere Möglichkeit mit der Dritte Zugriff auf geteilte Links erhalten könnten. Dies funktioniert in Verbindung mit dem Werbenetzwerk Google Adwords, in dem Werbung für Mitbewerber geschaltet wird und nur noch darauf gehofft werden muss, dass ein Anwender das Google Eingabefeld anstelle der Browser-Adresseleiste für den Aufruf des Dropbox-Dokuments verwendet.
In einem Test erhielt das Team von Cluley somit fast mühelos Zugriff auf über 300 Dokumente, die teilweise mit vertraulichen Daten gespickt waren. Allerdings hat sich Dropbox dem Problem nicht angenommen und hat die Meinung, dass dies keine gravierende Sicherheitslücke sei.
Quelle: Dropbox, Graham Cluley und collaboristablog