miércoles, mayo 07, 2014

Un serio fallo en Dropbox expone tus enlaces privados

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma "Secreta" entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.
.
Figura 1: 1.510.000 URLs de Dropbox indexadas en Google
Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. De hecho, a mí me sorprendía la cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.


Figura 2: Dropbox ha deshabilitado muchos de los Shared Links

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

- Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.
- La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.
- En el documento PDF hay un enlace que lleva a www.elladodelmal.com
- En las estadísticas de www.elladodelmal.com aparece la URL de la carpeta compartida en Dropbox.

En mi caso, como en el de millones y millones de sitios de Internet, las estadísticas de www.elladodelmal.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google. En la siguiente imagen se ven los campos HTTP-Referer donde caen las URLs de los Shared Links de DropBox.

Figura 3: Campos HTTP Referer en las estadísticas públicas de El lado del mal

Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador. ¿Quién no ha buscado sin querer una URL alguna vez en su vida?

Figura 4: Búsqueda de una URL de Dropbox que acabará en los anunciantes

Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

Figura 5: Funcionamiento de Prot-ON

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:
1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs. 
Figura 6: URLs indexadas en Bing
2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado. 
3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.
Saludos Malignos!

5 comentarios:

  1. Y como se podria implementar Latch a un servicio como Dropbox?

    ResponderEliminar
  2. Sé que es un offtopic, pero creo que éste sitio es el mejor lugar para preguntarlo.

    Estoy un poco hasta la nariz que siempre la computadora de mi hermana está infectada por un virus de pendrive, el de los accesos directos.

    Yo a su máquina cuando "se la configuré" hace años le puse una cuenta de usuario, le desactivé el autorun, le puse que los archivos ocultos y las extensiones sean visibles, incluso le cambié el ícono de accesos directos para que sea bien visible y no le pasen nada colado, etc; así que nunca he tenido que hacerle un manteniendo "porque Windows se rompe solo a cada rato". Excepto cuando llegó ésto.

    De hecho, como no está usando cuenta de administrador no pasa gran tragedia y como tiene visibles las extensiones y los archivos ocultos se da cuenta que hay archivos "duplicados"; pero "como no le queda otra" muchas veces hay quien clicka el acceso directo para entrar a sus archivos.

    Me gustaría que me dijeran la manera de que los usuarios no puedan ejecutar archivos VBScript. Lo primero que hice fue asociar los .vbe y .vbs con una aplicación inofensiva (ejemplo: block de notas) pero no creo que ésto sea una solución definitiva.
    Además ¿un usuario normalmente no tendría necesidad de ejecutar archivos de ése tipo, verdad?, osea que ¿bloqueando eso no se les va a romper algo en algún momento (por ejemplo cuando vayan a imprimir un documento, entonces no puedan)?.

    ResponderEliminar
  3. Es dificil aguantar la tentación del hacking cuando uno estudio informática :D

    saludos!

    ResponderEliminar
  4. seguramente todos los servicios similares tienen sus problemas de seguridad y siempre estamos expuestos a que nuestra informacion se accesible por cualquier usuario, no se porque pero cuando comparto info con usuarios en Box.net, por ejemplo, veo en las estadisticas muchas descargas y se supone que debera tener al menos una descarga. Raro no?

    ResponderEliminar
  5. Hola Chema, y cómo podemos saber si google tiene algún enlace nuestro indexado?

    ResponderEliminar