Bezpečnost | Dropbox | Únik dat

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Pozor na Dropbox, bez optání všem ukáže váš e-mail. Stačí použít jeho Paper

Bezpečnostní expert Koen Rouwhorst upozornil na designovou chybu sdílení dokumentů Paper na Dropboxu. Když totiž takový dokument vytvoříte a budete jej veřejně sdílet, každý uživatel Dropboxu si z HTML kódu snadno vytáhne e-mailové adresy všech, kteří dokument byť jen otevřeli.

Dropbox na tweet záhy zareagoval s tím, že se nejedná o chybu, ale funkci, neboť historie otevření dokumentu se zobrazuje přímo v hlavičce stránky, kde najdete miniatury jednotlivých uživatelů. A skutečně, když seznam otevřete, zobrazí se vám i jejich e-mailové adresy!

Klepněte pro větší obrázek
Vyhledal jsem v Googlu jeden z veřejně sdílených dokumentů Dropbox Paper. Stačí, abych se přihlásil na Dropbox a uvidím stovky e-mailů všech, kteří dokument otevřeli.

Tento seznam pak snadno dohledáte i ve zdrojovém kódu stránky (hledejte výraz „email“), takže stačí napsat jednoduchý program, který skrze vyhledávač nejprve dohledá všechny indexované a veřejně sdílené dokumenty na Paperu, načež se jako přihlášený uživatel podívá do jejich zdrojových kódu a posbírá si tisíce a tisíce e-mailových adres třeba k rozesílání spamu a dalšího malwaru.

Klepněte pro větší obrázek
E-maily jsou ve zdrojovém kódu ve formátu JSON, takže je může indexovací robot všechny velmi snadno strojově posbírat a vložit třeba na seznam pro rozesílání spamů. Gratulujeme!

Dropbox tento přístup hájí, nicméně tušíme, že mu to vydrží nanejvýše jen pár dnů a brzy tuto funkci upraví způsobem, aby e-mailové adresy viděl třeba jen autor dokumentu, anebo uživatelé, se kterými tento dokument přímo sdílí.

Diskuze (6) Další článek: Chcete vlastního bojového mecha? Jeden se právě draží na eBay

Témata článku: Google, Bezpečnost, Web, E-mail, Dropbox, Únik dat, Kód, Paper, Rozesílání, Uživatelé, E-mailová adresa, Full name, Dokument, DRO, Rozesílání spamu, Adresa, Zdrojový kód, JSON, Optání