Security

Tückischer Referer: Dropbox stopft Sicherheitslücke

Wer den Cloud-Anbieter Dropbox nutzt und Dokumente per Freigabe-Link mit anderen teilt, hatte theoretisch unbekannte Dritte im Boot. Dropbox hat die Lücke gefixt - Links in Altdokumenten funktionieren dafür jetzt nicht mehr.

06.05.2014, 18:10 Uhr
Internetnutzung© adam36 / Fotolia.com

Was geheim ist, sollte geheim bleiben - oder jedenfalls so teilgeheim wie vom Autor gewünscht. Das Thema Sicherheit von Daten und Dokumenten auf Cloud-Laufwerken bewegt die IT-Branche, seit die ersten Dienstleister ihren Fuß in die Wolke setzten. Dass dies keine bloße Hysterie ist, beweist eine Sicherheitslücke bei Cloud-Urgestein Dropbox. Sie ist zwar gefixt, zeigt jedoch, dass sensible Daten spätestens dann gefährdet sein können, wenn sie die heimische Festplatte verlassen.

Drittserver-Admin konnte spionieren

Wie die Dropbox-Macher in ihrem hauseigenen Blog mitteilen, konnte ein Drittserver theoretisch auf ein geheimes Dokument zugreifen, wenn es einen Hyperlink auf den Drittserver enthielt und per Geheimlink mit einem oder mehreren anderen Nutzern geteilt wurde. Das Loch ist inzwischen offenbar gestopft: Bei neuen Dokumenten kann das Problem dem Blog zufolge nicht mehr auftreten. Allerdings funktionieren die Links in den älteren Dokumenten nicht mehr – sie müssen den Autoren zufolge neu erstellt werden.

Zum Hintergrund: Bei Dropbox können die Nutzer ein Dokument mit Freunden und Kollegen teilen, indem sie über das System per Zufallsgenerator einen Link mit zahlreichen Parametern erstellen lassen, den sie an die Adressaten weiterleiten. Diese können dadurch auch ohne weitere Dropbox-Berechtigungen auf das Dokument zugreifen. Das beschriebene Problem trat nun bei Dokumenten auf, die einen Link zu einem Server enthielten (siehe Bild). Denn wird der Link angeklickt, so wird die Herkunftsadresse an den Zielserver mitgeschickt und ist somit nicht mehr geheim.

Der sogenannte Referer wird verwendet, um den Herkunftsserver zu identifizieren – ein üblicher Prozess, der in diesem Fall jedoch zu einer Sicherheitslücke führte. Dropbox zufolge sind jedoch keine aktiven Missbrauchsfälle bekannt.

(Dorothee Monreal)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang