Se ha descubierto una vulnerabilidad que afecta a los enlaces utilizados para compartir archivos en el popular servicio de almacenamiento en la nube Dropbox. La compañía se encuentra trabajando en ello y ha solucionado parte del problema, aunque según un investigador todavía no está resuelto totalmente.
Una vulnerabilidad que afecta a los enlaces que los usuarios de Dropbox utilizan para compartir sus archivos ha sido descubierta. Los usuarios del servicio de almacenamiento en la nube pueden compartir enlaces de sus archivos o carpetas a quien quiera. Estos archivos solo son accesibles para las personas que tienen el enlace, pero el fallo descubierto permite que los archivos estén disponibles para destinatarios no deseados. Según la compañía, están trabajando en ello y han conseguido solucionar parte del problema, ya que un investigador asegura que todavía no está resuelto en su totalidad porque el fallo que permite la caída en manos ajenas de declaraciones de impuestos y solicitudes de hipotecas no está resuelto.
La cabecera HTTP revela el vínculo original al contenido
Cuando hacemos clic en un enlace en el navegador, el sitio que visitamos sabe de dónde venimos gracias a la cabecera HTTP. Este elemento fue diseñado para permitir a los sitios web entender mejor las fuentes del tráfico web y es un estándar implementado en prácticamente todos los navegadores. Los usuarios de Dropbox pueden compartir un enlace para que otra persona acceda a un archivo. Este enlace solo es visible por la persona que tiene el enlace, pero la vulnerabilidad permite que otras personas no deseadas puedan acceder al contenido en el siguiente escenario:
- Un usuario de Dropbox comparte un enlace a un archivo que contiene un hipervínculo a un sitio web de terceros.
- El usuario o un receptor autorizado hace clic en el hipervínculo del archivo.
- En ese momento, la cabecera HTTP revela el vínculo original compartido en el sitio web de terceros.
- Alguien con acceso a la cabecera, como puede ser el webmaster del sitio web, podría acceder al enlace original y, por tanto, al contenido que se comparte.
Los nuevos enlaces están libre de vulnerabilidades
Dropbox ha tomado medidas para evitar que los hackers exploten la vulnerabilidad. Lo que han hecho es deshabilitar el acceso a los enlaces compartidos previamente hasta nuevo aviso. La compañía se encuentra trabajando para resolver la vulnerabilidad lo antes posible y, mientras tanto, como solución alternativa permiten crear nuevos enlaces, ya que aseguran que para estos nuevos enlaces está parcheada la vulnerabilidad. Para los clientes de empresas, indican que tienen la posibilidad de restringir el acceso a los enlaces compartidos. La empresa se disculpa por los inconvenientes causados e intentará acabar con el problema a la mayor brevedad posible.