全球最大的个人云存储服务商Dropbox是一款深受商务人士欢迎的移动办公应用,但最近Dropbox出现了一个非常严重的漏洞,通过链接Sensitive通过其他方式共享的公司和个人文档可能会出现在Google的搜索结果中。Dropbox在声明中指出:Drpbox用户可以通过链接共享文档或文件夹。一般来说,只有收到链接的用户才能打开文档。但是,在以下情况下,文档共享链接可能会泄露给无关人员:Dropbox用户共享的文档包含指向第三方网站的超文本链接。任何人(包括用户和未经授权的人)单击文档中的超链接。届时,HTTP引用标头也会将Dropbox的文件共享链接泄露给第三方网站。任何可以访问此标头的人,例如第三方网站管理员,都可以通过此链接获取Dropbox用户共享的文档。Dropbox的竞争对手之一,Intralinks的GrahamCluley,在关键字搜索过程中发现了这个漏洞。他发现,谷歌搜索结果中有很多是Dropbox中用户文档的共享链接,包括税收、财务记录、商业计划等大量敏感信息。Cluley指出,Dropbox文档泄露的方式主要有两种:一种是文档共享链接泄露漏洞(出现在谷歌搜索结果中),另一种是超文本链接泄露漏洞(泄露给第三方站长)。第一种泄露方式是用户错误地将Dropbox文档分享链接粘贴到谷歌搜索框而不是浏览器地址栏造成的;而第二种泄密方式是在用户点击共享文档中指向第三方网站的超链接时触发的。文本链接。目前,Dropbox表示已采取以下措施防止该漏洞造成更多损失:未来几天受此漏洞影响的链接。同时,建议Dropbox用户立即重新创建任何已共享(当前禁用)文档的文档共享链接。新创建的文档共享链接不再有此漏洞。Dropbox企业版用户可以限制团队内的文档共享,通过这种方式创建的文档共享链接不受此漏洞影响。安全牛点评:像Dropbox这样的个人云存储服务的普及,一直是企业IT安全管理者头疼的问题。也是企业APP黑名单榜首的常客。IBM等相对保守的企业在其内部BYOD政策中明确禁止使用此类服务??。Dropbox,但更多的企业IT部门经不起业务部门乃至管理者的压力,让业务部门使用Dropbox这样的文件共享和团队协作应用是非常危险的。企业应该实行明确的BYOD政策,而移动应用管理成熟的标志之一就是APP(甚至企业移动应用商店)的黑白名单机制。
