云存儲Dropbox爆嚴重漏洞,用戶文檔可被Google搜到
全球***的個人云存儲服務商Dropbox是商務人士移動辦公的流行應用,但是近日Dropbox爆出一個極為嚴重的漏洞,通過鏈接方式分享的企業和個人敏感文檔可能會出現在Google的搜索結果中。
Dropbox在聲明中指出:
Drpbox用戶可以通過鏈接的方式分享文檔或文件夾,一般來說只有收到鏈接的用戶才能打開文檔。但是文檔分享鏈接下面這種情況中可能會被泄露給無關的人:
Dropbox用戶分享的文檔中含有第三方網站的超文本鏈接
任何人(包括用戶和非授權人士)點擊了文檔中的超鏈接
此時,HTTP引用報頭會把dropbox的文檔分享鏈接也泄露給第三方網站
任何能夠訪問此報頭的人,例如第三方網站管理員,可以通過這個鏈接獲取Dropbox用戶分享的文檔。
Dropbox的一個競爭對手——Intralinks的Graham Cluley在進行關鍵詞搜索時發現了這個漏洞,他發現在Google搜索結果中居然有很多是Dropbox中的用戶文檔分享鏈接,包括稅收、財務記錄、商業計劃等很多敏感信息。
Cluley指出Dropbox的文檔主要通過兩種方式被泄露:一種是文檔分享鏈接泄露漏洞(出現在Google搜索結果中),另外一個是超文本鏈接泄露漏洞(泄露給第三方網站管理員)。
***種泄露方式是當用戶錯誤將Dropbox文檔分享鏈接粘貼到Google搜索框而不是瀏覽器地址欄引發;而第二種泄露方式的觸發則是用戶點擊了分享文檔中指向第三方網站的超文本鏈接。
目前Dropbox表示已經采取以下措施防止漏洞造成更多損失:
在接到新的通知前,此前分享的含有漏洞的文檔將暫時被禁止訪問,Dropbox未來幾天將恢復那些不受此漏洞影響的文檔分享鏈接。
在此期間,建議Dropbox用戶立刻重新創建任何已經被分享的文檔(目前被禁止訪問)的文檔分享鏈接。
新創建的文檔分享鏈接不再存在此漏洞。
Dropbox企業版用戶可以限制文檔分享在團隊內部,以這種方式創建的文檔分享鏈接不受此次漏洞影響。
安全牛點評:Dropbox這樣的個人云存儲服務的流行一直是企業IT安全管理者頗為頭疼的問題,也是企業APP黑名單榜首的??停鄬ΡJ氐钠髽I如IBM在內部的BYOD政策中明令禁止使用dropbox,但更多的企業IT部門則扛不住業務部門甚至管理者的壓力,放任業務部門使用Dropbox之類的文檔分享和團隊協作應用,這是非常危險的。企業應當實施明確的BYOD政策,而成熟的移動應用管理的標志之一就是APP的黑名單白名單機制(甚至企業移動應用商店)。