Dropbox corrige une vulnérabilité au sein des fichiers partagés

Sur son blog officiel, la société Dropbox annonce avoir corrigé une vulnérabilité affectant les liens de partage vers certains documents.

A l'instar de nombreux services de stockage, Dropbox propose à ses utilisateurs de partager des documents en générant un lien qu'il suffira d'envoyer par email. Toutefois, certains de ces liens présentaient une vulnérabilité. Plus précisément, il s'agissait des documents partagés contenant un lien, par exemple un document de type Word.

Le lien inséré au sein du document en question pointe vers un site tiers. En théorie, la personne avec laquelle le document est partagé cliquera sur ce lien. De son côté, l'administrateur de ce site Internet tiers sera en mesure d'analyser l'origine du trafic pointant vers ses pages en analysant les référants HTTP. Il sera donc en mesure d'identifier l'URL de partage du document en question et pourra donc lui-même y accéder.

Dropbox ne peut affirmer que cette vulnérabilité a bel et bien été exploitée pour accéder à des documents partagés. La société ajoute avoir désactivé les liens de partage pointant vers des documents potentiellement vulnérables. Le problème a été corrigé pour les futurs liens qui seront générés. Les utilisateurs affectés devront ainsi manuellement recréer leurs précédents liens de partage.