Warnung: Dropbox und Box Datentauschplattform unsicher

facebook-dropbox

Haben Sie Dropbox oder Box zum Sichern Sie Ihre wichtigsten Dateien und teilen Sie sie mit Ihren Kollegen oder Freunden? Wenn ja, dann teilen Sie Ihre Daten eventuell unbeabsichtigt auch mit Leuten, die Sie noch nie zuvor gesehen haben.

Intralinks hat eine Sicherheitslücke in Dropbox und Box entdeckt

Ein aktueller Bericht von Intralinks – ein Cloud-Storage- Service-Provider und ein direkter Konkurrent von sowohl Dropbox und Box – hat eine Sicherheitslücke (sogen. „sharelink disclosure vulnerability“) sowohl in Dropbox.com als auch Box.com entdeckt und Details dazu veröffentlicht.

Es funktioniert wie folgt:

Beim Erstellen einer Google-Ads Werbekampagne nutzen Konkurrenten den Firmennamen der anderen Firma als Schlüsselwörter. Nehmen wir an, Sie würden nach einem Anbieter für Cloud Storage und Datei-Sharing von Dropbox suchen und „Dropbox“ in Google eingeben. Als Suchergebnis würden Sie einen direkten Link zu Dropbox.com, sowie einer Auswahl an Werbeeinschaltungen der Konkurrenz (z.B. Box und Intralinks). Würden Sie, aus welchem Grund auch immer, nun auf eine dieser Werbelinks zu Box oder Intralinks klicken, würde der Besitzer dieser Werbeanzeige in einer entsprechenden Kampagnen-Auswertung erfahren, dass das Wort „Dropbox“ Sie erfolgreich auf seine eigene Website gebracht hat.

So weit so gut. ABER: Bei der Analyse der aktuellsten Google Werbekampagnen, ist der Firma Intralinks noch etwas merkwürdiges aufgefallen. Abgesehen vom Namen der Konkurrenzwebsite und üblichen Suchbegriffen, konnte Intralinks in den Google Adwords Daten auch (durchaus sensible) Informationen zu freigegebenen Dokumenten auf Dropbox.com und Box.com als Suchparameter herausfiltern. Diese Links waren nicht nur voll funktionstüchtig, sondern ohne jegliche Zugangsbeschränkung durch simple Eingabe in die Adresszeile eines Browsers direkt erreichbar.

Laut einer Aussage von Richard Anstey, Technischer Leiter bei Intralinks, befanden sich unter den entdeckten Dateien „mehrere Steuererklärungen, eine Hypothek-Anfrage, Bankinformationen und persönliche Fotos, in einem weiteren Fall auch Unternehmensinformationen inklusive Businessplan. “

Wie konnte das passieren?

Die entdeckte Schwachstelle in der Verwendung von Dateitauschplattformen (sogen. „Sharelink disclosure vulnerability) in Dropbox und Box war ein (un)glücklicher Zufall. Um Dateien mit Freunden oder Arbeitskollegen zu teilen, versenden Benutzer üblicherweise einen Link zu diesen Dateien. Im Regelfall klickt der Empfänger auf diesen Link, aber manchmal wird er auch in die Adresszeile des Browsers kopiert. Selten, aber doch, haben Benutzer offenbar den Link auch in das Google-Suchfeld im Browser kopiert und damit die Anzeige von Konkurrenz-Werbeblöcken (wie eingangs erwähnt) in der Suchergebnisseite erwirkt. Durch Auswertung dieser „Suchbegriffe“ konnte Intralink das Problem entdecken.

Warum ist dies nun ein Problem?

Die in der Auswertung der eigenen Google Ad-Werbekampagnen von Intralink entdeckten Datei-Sharelinks gewährten jedem direkten Zugriff auf Dropbox oder Box-Dateien fremder Benutzer, ohne Authentifizierung – oder Dropbox- bzw. Box-Konto. Es konnte also jeder Intralink-Mitarbeiter durch diese Schwachstelle aufrufen, egal wem sie gehörten, solange die Url bekannt war. Dies bedeutet aber auch, dass jeder mit einer Google Ad-Kampagne dies ebenso ausnutzen könnte.

Weiteres Problem: die Hyperlink-Offenlegung

Graham Cluely, ein unabhängiger Blogger in der Sicherheitsszene,  hat sich  ebenfalls zu diesem Thema geäußert. Er kommt schnell zu dem Schluss, dass ebenfalls Hyperlinks in Dropbox-Dokumenten betroffen sind.

Das heißt, wenn ein Link zu einer Website in einem Dokument enthalten ist, das Sie auf Dropbox gespeichert haben und jemand klickt auf diesen Link in der Dokumenten-Vorschau, werden sie auf diese Website weitergeleitet – und die Server der Website erhalten den Sharelink als Referrer-Information mitgeschickt. Jemand mit Zugriff auf diesen Server könnte auf diesen Sharelink zugreifen und sich ebenfalls Ihre Datei ansehen.

Diese Tatsache scheint fast schlimmer als die zugrundeliegende Schwachstelle in Dateitauschbörse-Links, weil damit ein direkter Zugriff auf Dateien fremder Websiten möglich wird. Darüber hinaus ist es leider durchaus üblich, mit Kollegen auch Hyperlinks in gemeinsamen Dokumenten auszutauschen.

Wie kann ich meine Daten schützen?

Dropbox und Box Sharelinks sind also unsicher, so viel ist klar. Dies ist nichts neues, da beide Dienstleister ihre Nutzer warnen,  dass jeder mit einem Sharelink auf die Datei zugreifen kann. Dass ausgerechnet von der Konkurrenz, Intralinks, dieses Problem öffentlich breitgetreten wird, ist eine andere Sache. Der aufmerksame Leser stellt sich vermutlich schnell die Frage: handelt es sich hier nun um eine ernszunehmende Bedrohung oder nur Wettstreit der Konkurrenz?

Egal, wer das Problem entdeckt hat, die Bedrohung ist nicht zu unterschätzen:

Empfohlene Schutz-Maßnahmen:

Mittlerweile hat Dropbox einen Artikel veröffentlicht, demnach eine Anpassung in der Hyperlink-Infrastruktur vorgenommen wurde, um die Schwachstelle zu entschärfen. Es sind allerdings keine Information enthalten, ob die Sharelink-Problematik gänzlich aus dem Weg geräumt wurde, wie sie von Intralink beschrieben wurde. Seitens Box liegt noch keine Stellungnahme vor.

Wir wünschen Ihnen einen schönen (Schwachstellen-freien) Tag!

Senan Conrad

Senan Conrad

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft > Blog > Malware-Labor > Sicherheitswarnungen > Warnung: Dropbox und Box Datentauschplattform unsicher