Bezpečnost | Dropbox | Únik dat

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Bezpečnostní expert Koen Rouwhorst upozornil na designovou chybu sdílení dokumentů Paper na Dropboxu. Když totiž takový dokument vytvoříte a budete jej veřejně sdílet, každý uživatel Dropboxu si z HTML kódu snadno vytáhne e-mailové adresy všech, kteří dokument byť jen otevřeli.

Dropbox na tweet záhy zareagoval s tím, že se nejedná o chybu, ale funkci, neboť historie otevření dokumentu se zobrazuje přímo v hlavičce stránky, kde najdete miniatury jednotlivých uživatelů. A skutečně, když seznam otevřete, zobrazí se vám i jejich e-mailové adresy!

Klepněte pro větší obrázek
Vyhledal jsem v Googlu jeden z veřejně sdílených dokumentů Dropbox Paper. Stačí, abych se přihlásil na Dropbox a uvidím stovky e-mailů všech, kteří dokument otevřeli.

Tento seznam pak snadno dohledáte i ve zdrojovém kódu stránky (hledejte výraz „email“), takže stačí napsat jednoduchý program, který skrze vyhledávač nejprve dohledá všechny indexované a veřejně sdílené dokumenty na Paperu, načež se jako přihlášený uživatel podívá do jejich zdrojových kódu a posbírá si tisíce a tisíce e-mailových adres třeba k rozesílání spamu a dalšího malwaru.

Klepněte pro větší obrázek
E-maily jsou ve zdrojovém kódu ve formátu JSON, takže je může indexovací robot všechny velmi snadno strojově posbírat a vložit třeba na seznam pro rozesílání spamů. Gratulujeme!

Dropbox tento přístup hájí, nicméně tušíme, že mu to vydrží nanejvýše jen pár dnů a brzy tuto funkci upraví způsobem, aby e-mailové adresy viděl třeba jen autor dokumentu, anebo uživatelé, se kterými tento dokument přímo sdílí.

Diskuze (6) Další článek: Chcete vlastního bojového mecha? Jeden se právě draží na eBay

Témata článku: Google, Web, Bezpečnost, Dropbox, Únik dat, E-mail, Kód, E-mailová adresa, Dokument, Optání, Paper, JSON, Uživatelé, Adresa, Zdrojový kód


Určitě si přečtěte

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

** Kvalitní drony začínají na 10 000 Kč ** Šli jsme na to jinak a koupili ten nejlevnější s kamerou ** I když je to čínský šmejd, je s ním zábava

Jakub Čížek | 34

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

** Google zavádí techniku ScrollToTextFragment ** Umí vytvořit odkaz na konkrétní slovo na stránce ** Podle kritiků by to mohl být bezpečnostní problém

Jakub Čížek | 41

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky