Phát hiện lỗ hổng bảo mật khi chia sẻ link Dropbox
Trong ngày thứ ba, 6/5, dịch vụ lưu trữ đám mây Dropbox đã để lọt một lỗ hổng bảo mật khá nghiêm trọng về các đường link chia sẻ. Theo thông báo của Dropbox trên blog công ty vào ngày thứ ba vừa qua thì các văn bản được chia sẻ trên Facebook đã hé lộ vị trí lỗ hổng này. Thật may mắn, ...
Trong ngày thứ ba, 6/5, dịch vụ lưu trữ đám mây Dropbox đã để lọt một lỗ hổng bảo mật khá nghiêm trọng về các đường link chia sẻ.
Theo thông báo của Dropbox trên blog công ty vào ngày thứ ba vừa qua thì các văn bản được chia sẻ trên Facebook đã hé lộ vị trí lỗ hổng này. Thật may mắn, Dropbox tuyên bố chưa có người dùng nào bị ảnh hưởng bởi lỗ hổng nói trên và hãng cũng đã tiến hành vá bảo mật.
Nhờ có gói tin header tham chiếu, website có thể biết được bạn vừa sử dụng đường dẫn nào để truy cập vào trang chủ. Nghĩa là nếu bạn click vào đường dẫn tới Amazon trên Facebook, Amazon có thể nhận biết được rằng bạn vừa truy cập vào Amazon từ Facebook.
Tương tự như vậy, khi bạn chia sẻ một văn bản trên Dropbox và trong văn bản này có chứa đường dẫn tới nhiều một trang web khác, trang web này có thể tìm ra đường dẫn (URL) tới văn bản đã chia sẻ.
Thông thường, đường dẫn tới các văn bản chia sẻ trên Dropbox sẽ bao gồm một chuỗi ký tự ngẫu nhiên khá dài, giúp tăng tính riêng tư cho các văn bản vốn chỉ được nhắm vào một số ít người dùng nhất định. Song, trong trường hợp lỗ hổng nói trên bị khai thác, trang web khác có thể tìm ra đường dẫn tới file chia sẻ vốn chỉ dành riêng cho những người được quyền truy cập vào file này.
Theo Dropbox, lỗ hổng nói trên đã được vá và tất cả các đường dẫn chia sẻ bị ảnh hưởng đều đã bị khóa. Một khi đã xác nhận được các đường dẫn này không còn đe dọa tới quyền riêng tư của người dùng, Dropbox sẽ phục hồi các đường dẫn này. Người dùng cũng có thể lựa chọn tạo ra các đường dẫn thay thế cho các URL cũ và do đó không cần phụ thuộc vào quá trình đánh giá nói trên của Dropbox nữa.
Tất cả các đường dẫn chia sẻ sắp tới đều sẽ không bị ảnh hưởng bởi lỗ hổng mới được công bố. Dịch vụ Dropbox dành cho doanh nghiệp cũng không bị ảnh hưởng, do các văn bản chia sẻ đều được giới hạn đối với những tài khoản cụ thể được chia sẻ.
Theo VNReview