Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/05/2014
Dropbox soluciona vulnerabilidad al compartir archivos
La empresa de almacenamiento nube reveló en su blog que una debilidad basada en la cabecera HTTP Referer podría haber sido aprovechada para exponer información. la cabecera Referer permite a un sitio web saber "de dónde viene un usuario".
En la siguiente escena, podría aprovecharse esta función vía Dropbox para robar datos:
- Un usuario de Dropbox comparte un enlace a un documento que contiene un enlace a un sitio web de terceros.
- Un destinatario autorizado hace clic en un hipervínculo del documento.
- La cabecera Referer revela la URL originalmente compartida.
- Alguien con acceso a esa cabecera podría acceder al enlace y al documento compartido.
Dropbox dice que no ha reportado ningún robo de datos debido a esta falla pero por las dudas ha deshabilitado la opción de "compartir enlaces" hasta nuevo aviso. Los usuarios no necesitan tomar ninguna otra medida porque la empresa espera solucionar este fallo de seguridad en los próximos días.
Como solución temporal hasta que se restablezca el acceso a los enlaces compartidos, los usuarios pueden volver a crear enlaces que han sido desactivados.
Fuente: Segu-Info