Bezpečnostní expert Koen Rouwhorst upozornil na designovou chybu sdílení dokumentů Paper na Dropboxu. Když totiž takový dokument vytvoříte a budete jej veřejně sdílet, každý uživatel Dropboxu si z HTML kódu snadno vytáhne e-mailové adresy všech, kteří dokument byť jen otevřeli.
Dropbox na tweet záhy zareagoval s tím, že se nejedná o chybu, ale funkci, neboť historie otevření dokumentu se zobrazuje přímo v hlavičce stránky, kde najdete miniatury jednotlivých uživatelů. A skutečně, když seznam otevřete, zobrazí se vám i jejich e-mailové adresy!
Vyhledal jsem v Googlu jeden z veřejně sdílených dokumentů Dropbox Paper. Stačí, abych se přihlásil na Dropbox a uvidím stovky e-mailů všech, kteří dokument otevřeli.
Tento seznam pak snadno dohledáte i ve zdrojovém kódu stránky (hledejte výraz „email“), takže stačí napsat jednoduchý program, který skrze vyhledávač nejprve dohledá všechny indexované a veřejně sdílené dokumenty na Paperu, načež se jako přihlášený uživatel podívá do jejich zdrojových kódu a posbírá si tisíce a tisíce e-mailových adres třeba k rozesílání spamu a dalšího malwaru.
E-maily jsou ve zdrojovém kódu ve formátu JSON, takže je může indexovací robot všechny velmi snadno strojově posbírat a vložit třeba na seznam pro rozesílání spamů. Gratulujeme!
Dropbox tento přístup hájí, nicméně tušíme, že mu to vydrží nanejvýše jen pár dnů a brzy tuto funkci upraví způsobem, aby e-mailové adresy viděl třeba jen autor dokumentu, anebo uživatelé, se kterými tento dokument přímo sdílí.