miércoles, 7 de mayo de 2014

Un serio fallo en Dropbox expone tus carpetas privadas

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma "Secreta" entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.
.
Figura 1: 1.510.000 URLs de Dropbox indexadas en Google
Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. De hecho, a mí me sorprendía la cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.



Figura 2: Dropbox ha deshabilitado muchos de los Shared Links

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

- Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.
- La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.
- En el documento PDF hay un enlace que lleva a www.elladodelmal.com
- En las estadísticas de www.elladodelmal.com aparece la URL de la carpeta compartida en Dropbox.

En mi caso, como en el de millones y millones de sitios de Internet, las estadísticas de www.elladodelmal.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google. En la siguiente imagen se ven los campos HTTP-Referer donde caen las URLs de los Shared Links de DropBox.

Figura 3: Campos HTTP Referer en las estadísticas públicas de El lado del mal

Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador. ¿Quién no ha buscado sin querer una URL alguna vez en su vida?
Figura 4: Búsqueda de una URL de Dropbox que acabará en los anunciantes
Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

 
Figura 5: Funcionamiento de Prot-ON

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:
1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs. 
Figura 6: URLs indexadas en Bing
2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado. 
3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.
Fuente.

Saludos.
Lexer Pars. 

No hay comentarios:

Publicar un comentario