Dropbox corrige problema de segurança na partilha de ficheiros

Os serviços de partilha e alojamento de ficheiros estão, tal como todos os restantes que constituem a Internet, sujeitos a problemas de segurança.

O mais recente caso surgiu agora e envolve o Dropbox, colocando os ficheiros partilhados acessíveis e detectáveis por qualquer utilizador. O Dropbox já corrigiu esse problema para futuras partilhas e está a tratar desse problema em links criados antes deste problema ter sido detectado.

O problema que agora foi detectado permite que, em determinadas situações, os links de qualquer partilha privada que seja feita possa ser acedida por qualquer utilizador e, pior, que seja tornado público na própria Internet, sem que os seus criadores sequer tenham conhecimento.

Este problema foi detectado pela empresa IntraLinks, que descobriu de forma casual que conseguia ter acesso a links disponíveis na Internet e que davam acesso a pastas e ficheiros privados, partilhados com outros utilizadores, e que estavam alojados no Dropbox e no Box.

Este problema advêm de uma característica normal e perfeitamente conhecida dos servidores Web, os referer headers, e que para além de várias informações, dão conhecimento do link (página web) de onde um visitante está aceder. Ou seja, sempre que saltamos de uma página para outro, através do simples clicar numa hiperligação, é registado no servidor de destino a nossa origem.

Ora no caso de documentos que sejam partilhados via Dropbox e que contenham links, os utilizadores estão a inadvertidamente a dar conhecimento dessas partilhas privadas, mas acessíveis sem qualquer tipo de autenticação.

Se serviços como o Box alertam os seus utilizadores para esta possibilidade de até lhes dão a hipótese de proteger esses acessos, o Dropbox até agora não tinha qualquer alerta ou restrição.

Num post publicado no seu blog o Dropbox reconheceu este problema e anunciou que este não afecta as partilhas de ficheiros que não tenham hiperligações.

O Dropbox anunciou ainda que bloqueou partilhas que tenham sido feitas antes da descoberta do problema e novas para documentos que tenham hiperligações, até que encontrem uma solução para o mesmo, o que deve acontecer dentro de dias.

Files shared via links are only accessible to people who have the link. However, shared links to documents can be inadvertently disclosed to unintended recipients in the following scenario:

• A Dropbox user shares a link to a document that contains a hyperlink to a third-party website.
• The user, or an authorized recipient of the link, clicks on a hyperlink in the document.
• At that point, the referrer header discloses the original shared link to the third-party website.
• Someone with access to that header, such as the webmaster of the third-party website, could then access the link to the shared document.

Ainda segundo o Dropbox, não existe qualquer informação sobre dados que tenham sido acedidos ou roubados que tenha sido explorada usando esta falha.

Esta é uma falha que afecta principalmente o Dropbox, mas que pode atingir utilizadores de outros serviços de partilha de ficheiros que ignorem a possibilidade de aceder a links dentro de ficheiros e da forma como esses links de acessos a mesmos ficheiros pode ser “partilhada”