Bezpečnost | Dropbox | Únik dat

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Bezpečnostní expert Koen Rouwhorst upozornil na designovou chybu sdílení dokumentů Paper na Dropboxu. Když totiž takový dokument vytvoříte a budete jej veřejně sdílet, každý uživatel Dropboxu si z HTML kódu snadno vytáhne e-mailové adresy všech, kteří dokument byť jen otevřeli.

Dropbox na tweet záhy zareagoval s tím, že se nejedná o chybu, ale funkci, neboť historie otevření dokumentu se zobrazuje přímo v hlavičce stránky, kde najdete miniatury jednotlivých uživatelů. A skutečně, když seznam otevřete, zobrazí se vám i jejich e-mailové adresy!

Klepněte pro větší obrázek
Vyhledal jsem v Googlu jeden z veřejně sdílených dokumentů Dropbox Paper. Stačí, abych se přihlásil na Dropbox a uvidím stovky e-mailů všech, kteří dokument otevřeli.

Tento seznam pak snadno dohledáte i ve zdrojovém kódu stránky (hledejte výraz „email“), takže stačí napsat jednoduchý program, který skrze vyhledávač nejprve dohledá všechny indexované a veřejně sdílené dokumenty na Paperu, načež se jako přihlášený uživatel podívá do jejich zdrojových kódu a posbírá si tisíce a tisíce e-mailových adres třeba k rozesílání spamu a dalšího malwaru.

Klepněte pro větší obrázek
E-maily jsou ve zdrojovém kódu ve formátu JSON, takže je může indexovací robot všechny velmi snadno strojově posbírat a vložit třeba na seznam pro rozesílání spamů. Gratulujeme!

Dropbox tento přístup hájí, nicméně tušíme, že mu to vydrží nanejvýše jen pár dnů a brzy tuto funkci upraví způsobem, aby e-mailové adresy viděl třeba jen autor dokumentu, anebo uživatelé, se kterými tento dokument přímo sdílí.

Diskuze (6) Další článek: Chcete vlastního bojového mecha? Jeden se právě draží na eBay

Témata článku: Google, Web, Bezpečnost, Kód, Dropbox, E-mail, Únik dat, Full name, Adresa, Paper, E-mailová adresa, JSON, Rozesílání, Rozesílání spamu, Dokument, Zdrojový kód, Uživatelé, Optání


Určitě si přečtěte

Z rozmazané šmouhy krásná fotka. Takhle kouzlí nová umělá inteligence MyHeritage

Z rozmazané šmouhy krásná fotka. Takhle kouzlí nová umělá inteligence MyHeritage

** MyHeritage slibuje nejlepší neuronovou síť pro vylepšování fotek ** Funguje tím líp, čím horší fotku upravuje ** Otestovali jsme desítky různých snímků

Marek Lutonský, Lukáš Václavík | 39

Deset kotev, které i v roce 2020 táhnou Android ke dnu

Deset kotev, které i v roce 2020 táhnou Android ke dnu

** Android existuje skoro 12 let a za tu dobu v mnoha směrech dospěl ** Dnes běží na sedmi z deseti telefonů, ale čemu za to vděčí? ** Našli jsme 10 kotev, které táhnou tento operační systém ke dnu

Karel Kilián | 169

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

** Pokračujeme ve vzpomínání na prehistorické programy ** Pročetli jsme vaše tipy v diskuzi ** A všechny ty vykopávky spustili na Windows 2000

Jakub Čížek | 74

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

** Vyzkoušíme Raspberry Pi 4 s iRaspbianem ** Operační systém vypadá skoro jako macOS ** Vše strčíme do vlastní stylové krabice

Jakub Čížek | 31


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11