全球***的个人云存储服务商Dropbox是商务人士移动办公的流行应用,但是近日Dropbox爆出一个极为严重的漏洞,通过链接方式分享的企业和个人敏感文档可能会出现在Google的搜索结果中。
Dropbox在声明中指出:
Drpbox用户可以通过链接的方式分享文档或文件夹,一般来说只有收到链接的用户才能打开文档。但是文档分享链接下面这种情况中可能会被泄露给无关的人:
Dropbox用户分享的文档中含有第三方网站的超文本链接
任何人(包括用户和非授权人士)点击了文档中的超链接
此时,HTTP引用报头会把dropbox的文档分享链接也泄露给第三方网站
任何能够访问此报头的人,例如第三方网站管理员,可以通过这个链接获取Dropbox用户分享的文档。
Dropbox的一个竞争对手——Intralinks的Graham Cluley在进行关键词搜索时发现了这个漏洞,他发现在Google搜索结果中居然有很多是Dropbox中的用户文档分享链接,包括税收、财务记录、商业计划等很多敏感信息。
Cluley指出Dropbox的文档主要通过两种方式被泄露:一种是文档分享链接泄露漏洞(出现在Google搜索结果中),另外一个是超文本链接泄露漏洞(泄露给第三方网站管理员)。
***种泄露方式是当用户错误将Dropbox文档分享链接粘贴到Google搜索框而不是浏览器地址栏引发;而第二种泄露方式的触发则是用户点击了分享文档中指向第三方网站的超文本链接。
目前Dropbox表示已经采取以下措施防止漏洞造成更多损失:
在接到新的通知前,此前分享的含有漏洞的文档将暂时被禁止访问,Dropbox未来几天将恢复那些不受此漏洞影响的文档分享链接。
在此期间,建议Dropbox用户立刻重新创建任何已经被分享的文档(目前被禁止访问)的文档分享链接。
新创建的文档分享链接不再存在此漏洞。
Dropbox企业版用户可以限制文档分享在团队内部,以这种方式创建的文档分享链接不受此次漏洞影响。
安全牛点评:Dropbox这样的个人云存储服务的流行一直是企业IT安全管理者颇为头疼的问题,也是企业APP黑名单榜首的常客,相对保守的企业如IBM在内部的BYOD政策中明令禁止使用dropbox,但更多的企业IT部门则扛不住业务部门甚至管理者的压力,放任业务部门使用Dropbox之类的文档分享和团队协作应用,这是非常危险的。企业应当实施明确的BYOD政策,而成熟的移动应用管理的标志之一就是APP的黑名单白名单机制(甚至企业移动应用商店)。
