El servicio de compartición de ficheros con otros usuarios basado en la compartición de una dirección URL habría sufrido una vulnerabilidad web en los ficheros que contenían hiperenlaces. La compañía ha tomado medidas al respecto.
La compañía Dropbox ha admitido que su servicio de compartición de documentos mediante la dirección URL compartida podría haber expuesto cierta información de los usuarios, para lo que ya ha tomado medidas parcheando el posible fallo de seguridad que había sido detectado en su servicio de compartición de documentos.
Dropbox permite crear una URL privada para que los usuarios puedan compartir un documento o ficheros con otros usuarios que ellos deseen a través de correo electrónico, sin embargo, la conocida como “HTTP referer header” de la dirección HTTP habría sido explotada. De este modo, si el documento en cuestión contiene un enlace a su propia dirección, y alguien hace click sobre ella, la URL privada del documento es expuesta a la cabecera “header” de terceras partes a través de la página web.
Así la dirección URL puede ser utilizada por personas no autorizadas a la zona privada. La compañía Dropbox ha solventado el problema desactivando enlaces compartidos previamente para proteger los ficheros actuales de los usuarios.
Desde el blog de Dropbox destacan que los ingenieros están trabajando para poder restaurar los enlaces que no son susceptibles de sufrir este tipo de vulnerabilidad para poder volver a estar activos en los próximos días. Algunos analistas de seguridad de gran reputación, como Graham Cluley, han destacado que el problema viene asociado a servicios como el de Dropbox o Box, al no requerir de clave de acceso a los usuarios al compartir un enlace. Comenta que es evidente que todo es más transparente y sencillo, pero el nivel de seguridad queda en entredicho en situaciones como la sucedida en este caso.
Francisco Carrasco, PCWorld en Español
—
Sigue a PCWorld en Español en…