285 meneos
2540 clics
Dropbox elimina el acceso a los documentos compartidos tras descubrir un fallo de seguridad
Dropbox acaba de hacer público un problema de seguridad que afectaba a los documentos compartidos, y que permitiría acceder a personas no autorizadas a dicho archivo. El error aparecía cuando alguien con permisos para ver el documento hacía click en un hipervínculo colocado dentro del mismo, un enlace que permitiría acceder al webmaster de la web de destino al fichero compartido. Fuente: blog.dropbox.com/2014/05/web-vulnerability-affecting-shared-links/
|
comentarios cerrados
www.washingtonpost.com/blogs/innovations/wp/2014/02/14/dropboxs-hiring
Por cierto, relacionada: www.meneame.net/story/comparte-dropbox-alcance-google
Copy te da de entrada 15 GB gratis y 5 GB extra por recomendación. Si entras desde este link, tendrás 20 GB gratis de por vida ampliables por recomendación: copy.com?r=N4J1lt
Si tu compartes algo de tu Dropbox "públicamente", Dropbox te da un enlace. Tu ese enlace se lo das a quien quieras.
El problema es que si el contenido que compartes tiene un enlace a otra web y alguien pincha, a la web de destino le llega como referer el enlace al contenido compartido. Ni admin, ni auth_token ni nada.
Es como si yo tengo una pagina web secreta en example.com/secret si en esa web pongo un enlace a meneame.net, cuando alguien pinche al meneame.net le llegará un petición con referer example.com/secret y los admins de meneame que miren los logs pondran descubrir mi pagina secreta.
No me parece una vulnerabilidad demasiado grave la verdad.
Nada, tenía que verificar el mail... Solucionado
Si vas a pasar la clave con PGP, para eso cifras los documentos tambien con PGP.
El ejemplo que ponía de cifrar era por la gente que comenta que prefiere tener los datos cifrados en la nube.
Cuando tenía un blog en los espacios de MSN me pasó algo parecido.
Envié por mail el enlace de mi blog a una persona, entonces en las estadísticas del blog me apareció su visita con un link a su bandeja de entrada tipo... www.xxxx.com/inbox/usuario
Me da por pinchar ese link y por arte de magia entré a su bandeja de entrada. Podía ver sus correos, contactos, etc.
Esto solo pasaba cuando la otra persona tenía la bandeja abierta en su navegador.
Avisé de la incidencia a microsoft y a la empresa donde trabajaba. Aún estoy esperando que alguien me dé las gracias por avisar del bug
Y no hablo de Dropbox, sino de sistemas de consignas en general. Claro, que si la empresa tiene un crypt&share público, pues para qué queremos más, pero no siempre es así, por desgracia.
Algunos sistemas de consigna hay muy voluntariosos que solo permiten ser leidos desde fuera de la organización si son subidos desde dentro y desde dentro si son subidos desde fuera. Eso significa que cualquiera de dentro puede ver el archivo que te mandan desde fuera y cualquiera de fuera puede ver el archivo que tú expones. Pero qué se le va a hacer, ya el dpto que lo lleva te dice q no ofrece apenas seguridad, pero es que no hay otra forma. Al final casi que acabas mandando DVDs por mensajero o pidiendo que vaya un trabajador a la otra empresa a reocgerlos.
#14 Aunque use google drive, lo único malo que tiene es que me genera mucha desconfianza que quieras un servicio y ya que estamos, te damos de alta en todo lo que tenemos. A mi me tienen hasta las narices con los avisitos de G+.