Home » Internet » Dropbox schließt Sicherheitslücke beim Teilen von Dokumenten

Dropbox schließt Sicherheitslücke beim Teilen von Dokumenten

Beim beliebten Cloud-Dienst wurde vor wenigen Tagen eine Schwachstelle entdeckt, die inzwischen auch behoben wurde. Dropbox erlaubt Dateien mit Bekannten, Freunden und Kollegen relativ einfach zu teilen, solange eine Sicherheitslücke die Daten nicht auch für Dritte freigibt.

Dropbox

Die erste Dropbox Sicherheitslücke wurde mittlerweile von Dropbox geschlossen. Das Problem trat explizit nur bei geteilten Inhalten mit externen Verweisen auf, sodass Dritte unter Umständen auf geheime Verknüpfungen schließen konnten.

Der Sicherheitsforscher Graham Cluley machte das Unternehmen Dropbox darauf aufmerksam, dass nebst der bereits geschlossenen Sicherheitslücke eine weitere Sicherheitslücke existiert. Augenscheinlich sieht Dropbox die neue Sicherheitslücke nicht als Problem an und hat dem entsprechend bisher nicht reagiert.

Dropbox-Sicherheitslücke dank Links zu externen Webseiten?

Kurioserweise war die Sicherheitslücke erst dann aktiv, wenn die geteilten Dokumente Verweise zu externen Webseiten erhielten, sobald der Link innerhalb des Dokuments geöffnet wurde, übergab Dropbox der verlinkten Webseite den Teilen-Pfad zum Dokument. Anhand des Referrer wird die Internetadresse der Webseite angegeben, über die eine Person auf die verlinkte Webseite gelangt ist.

Nach eigenen Angaben konnte Dropbox nicht in Erfahrung bringen, ob die Sicherheitslücke aktiv ausgenutzt wurde und dadurch Schäden entstanden sind. Alte Freigabe-Links, die durch die Sicherheitslücke betroffen sind, wurden umgehend von Dropbox deaktiviert. Der Fehler sei soweit behoben und Dropbox-Nutzer könnten den Dienst in gewohnter Qualität einsetzen.

Eine weitere Sicherheitslücke bei Dropbox

Wie der Sicherheitsforscher Graham Cluley weiter berichtet, gibt es allerdings noch eine weitere Möglichkeit mit der Dritte Zugriff auf geteilte Links erhalten könnten. Dies funktioniert in Verbindung mit dem Werbenetzwerk Google Adwords, in dem Werbung für Mitbewerber geschaltet wird und nur noch darauf gehofft werden muss, dass ein Anwender das Google Eingabefeld anstelle der Browser-Adresseleiste für den Aufruf des Dropbox-Dokuments verwendet.

In einem Test erhielt das Team von Cluley somit fast mühelos Zugriff auf über 300 Dokumente, die teilweise mit vertraulichen Daten gespickt waren. Allerdings hat sich Dropbox dem Problem nicht angenommen und hat die Meinung, dass dies keine gravierende Sicherheitslücke sei.

Quelle: Dropbox, Graham Cluley und collaboristablog

Weiterlesen!

Haben Passwörter für öffentliche WLAN-Zugänge bald ausgedient?

Das dritte Gesetz zur Änderung des Telemediengesetzes steht vor der Tür. Nach der letzten Änderung ...