Dropbox сливал кому попало секретные URL через referer

Облачное хранилище отчиталось о зализывании пробоины — уязвимость Dropbox заключалась в передаче произвольным сайтам "секретных" URL документов. В одном из вариантов использования Dropbox доступ к файлу получает только тот, кто знает прямую ссылку на нужный файл. Если расшаривался для ограниченного круга лиц документ со ссылками, и по этим ссылкам были клики-переходы — произвольные сайты видели секретные URL в реферах. Таким образом, все кто имеет доступ к статистике сайтов на которые совершались переходы, могли видеть и секретные адреса. Теоретически, больше всего адресов, должно было утечь в популярные системы статистики, например производства Google. В истории интернета уже было несколько скандалов связанных с индексацией поисковиками "секретных" частей сайтов, без злого умысла со стороны поисковиков.

Сейчас Dropbox отключил все старые секретные ссылки, для расшаривания их необходимо пересоздать заново.

«Республика» предлагает молодым людям читать книги в виде URL-линков Google выпустил Редактор AdWords 11.1 Как показать полный URL-адрес веб-сайта в Safari на OS X Yosemite Публикации в СМИ Мобильные пользователи втрое уязвимее для фишинговых атак Студент написал более 100 троянов за два года YouTube оказался беззащитен против ASCII-порнографии Открытка компании: Почему "Билайн" часть ресурсов блокирует по IP, а часть по URL? Новый вирус турецких хакеров заразил более 800 тысяч пользователей Facebook В отчете McAFEE LABS за IV квартал сообщается о методах, использованных в резонансных случаях хищения данных