Referer-Bug

Dropbox schließt Sicherheitslücke

Unbekannte schnüffeln in Ihren Dropbox-Dokumenten herum - ein Alptraum. Unter bestimmten Voraussetzungen aber durchaus im Bereich des Möglichen. Die Dropbox-Entwickler haben nun eine Sicherheitslücke bekanntgegeben und behoben.

Die Dropbox-Macher haben eine Lücke in ihrem beliebten Cloud-Speicher gestopft. Wer die Dropbox nutzt, kann gezielt Dokumente von seinem Speicher als Link freigeben. Das geschieht über einen Klick mit der rechten Maustaste und der Funktion "Link freigeben ...". Anschließend erhält man einen sehr langen und kryptischen Link, der jedem den Zugang zum freigegebenen Dokument gewährt, wenn er nur den Link kennt. Offenbar gab es aber bislang eine Schwachstelle in der Dropbox, über welche auch Dritte an den Link zum Dokument gelangen konnten.

So funktionierte die Dropbox-Schwachstelle

Immer dann, wenn ein Link im freigegebenen Dokument steht - beispielsweise der Link zu einer Webseite in einem Text-Dokument - bestand bislang die Gefahr, dass neugierige Dritte sich Zugang verschaffen konnten. Wenn der legitimierte Nutzer auf einen Link im Dokument klickt, führt dieser Link ihn natürlich zur angegebenen Seite. Doch am Link klebt auch der Referer. Dieser zeigt bei Links immer den Ausgangsort an, also wo der Seitenbesucher hergekommen ist. Für Webseitenbetreiber ist der Referer eine praktische Funktion, können sie doch auswerten, von welcher Seite die meisten Besucher zu ihnen kommen. Über den Dropbox-Referer war es jedoch möglich für den Seitenbetreiber, den Link zum Dropbox-Dokument zu erhalten, das eigentlich nur für einen begrenzten Kreis bestimmt war. Aus diesem Grund ist bei der nun gestopften Lücke auch vom Dropbox-Referer-Bug die Rede.

Die Dropbox-Entwickler haben nach Bekanntwerden des Bugs nun reagiert und bei allen bisherigen per Link freigegeben Dokumenten die Freigabe deaktiviert. In den folgenden Tagen wolle man zwischen von der Lücke betroffenen Dokumenten und nicht betroffenen unterscheiden und die unbedenklichen Freigaben wieder aktivieren. Tipp: Unter https://www.dropbox.com/links finden Sie nach dem Login alle Links, die Sie freigegeben haben. Dort können Sie wichtige und aus Ihrer Sicht unbedenkliche Dokumente wieder freigeben, wenn Sie nicht warten möchten.

Bei allen ab sofort per Link geteilten Dropbox-Dokumenten sei das Problem behoben, verspricht Dropbox. (PC Welt/mje)