Der IT-Sicherheitsexperte Graham Cluley berichtet in seinem Blog, dass Anwender unter Umständen fahrlässig Fremden zugriff auf ihre privaten, bei den File-Hosting-Anbietern Dropbox und Box.com gespeicherten Daten gewähren.

Entdeckt wurde die Sicherheitslücke von der File-Sharing-Firma Intralinks bei der Untersuchung von per Google Analytics gewonnen Daten und Google Adwords-Berichten: Intralinks hat, wie viele andere Unternehmen, Anzeigen auf Google gebucht. Sie erscheinen, wenn ein Nutzer den Namen eines der Konkurrenten eintippt. Wer beispielsweise bei Google nach “dropbox secure file sharing” such, bekommt automatisch die Text-Anzeigen der Dropbox-Mitbewerber zu sehen.

Als Intralinks die Daten ihrer Google Adwords-Kampagne untersuchte, die auf die Konkurrenz von Box.com und Dropbox reagiert, fanden sie komplette, anklickbare URLs. Ein Klick auf diese Links bringt laut Intralinks ungehinderten Zugang zu Dokumenten, die nichtsahnende Anwender bei den Filehostern abgelegt haben – darunter persönliche und vertrauliche Informationen wie Einkommenssteuer-Rückzahlungen oder Kreditanträge.

Wie kommen Google Ads-Kampagnen an diese privaten URLs? Es gibt zwei Wege, durch die Nutzer unbeabsichtigt die URL eines Ordners bei Dropbox oder Box.com preisgeben:

1. Anwender haben die Links, die auf privaten Dateien und Ordner zeigen, in den Suchschlitz von Google eingegeben, anstatt dafür die Adresszeile des Browsers zu nutzen. Dies können sowohl die Nutzer der jeweiligen File-Hosting-Dienste gewesen sein, als auch deren Kontakte, denen sie den vertraulichen Link haben zukommen lassen. In jedem Fall erhält der Advertising-Server diesen Link als Teil der bezugnehmenden URL, und zeigt ihn an, wenn der Nutzer auf eine Google-Anzeige klickt. Nachdem Dropbox und Box.com laut Intralinks auf die Authentifizierung des Nutzers bei einem Shared Link bei einem Shared Link verzichten, können beliebige Google-Anzeigenbucher solche Links missbrauchen.

2. Enthält ein Dokument, das in Dropbox gespeichert ist, einen anklickbaren Link zu einer anderen Webseite, zeigt die Vorschau von Dropbox automatisch die Seite als Preview an.

Der Share-Link für dieses Dokument enthält den Link in der bezugnehmenden URL, die an Dritte geschickt werden kann. Das bedeutet wiederum: Share-Links, die für eine bekannte Gruppe gedacht sind und die sensible Informationen enthalten, können unbekannten Dritten angezeigt werden.

Richard Anstey, CTO von Intralinks für die Region EMEA, erklärte die Dimension des Problems: In nur einer Anzeigen-Kampagne bei Google wurden fünf Prozent der Treffer gefunden, die komplette Links oder geteilte Dokumente enthielten, die kein Passwort vor fremdem Zugriff und Download schützte. Das können schon bei einer kleinen Kampagne über 300 Dokumente sein. In einem Fall wurden so auch sensible Informationen einer Firma und ein Business-Plan gefunden.

Sowohl Dropbox als auch Box.com warnen den Nutzer vor dieser Möglichkeit mit einem Hinweis. Laut Clueley sind sich aber viele Nutzer dieses Problems nicht bewusst. Nur Nutzer der kostenpflichtigen Dropbox-Business-Version können den Zugriff auf Shared Links begrenzen. Wer auf Nummer Sicher gehen will, sollte auf die Business-Version umsteigen, rät Clueley, und die Sicherheitseinstellungen für Shared Links überprüfen. Oder die Shared Links-Funktion nicht benutzen und diese löschen, sobald sie nicht mehr gebraucht werden. Box-Nutzer der privaten und Business-Version haben die Möglichkeit, die Einstellungen für Shared Links so einzustellen, dass kein unerlaubter Zugriff möglich ist. Und natürlich sollten Anwender keinesfalls die URL, die auf ihre privaten Daten zeigt, in eine Suchmaschine eingeben.

Dropbox hat inzwischen das Problem der Shared-Link-Verwundbarkeit erkannt und dazu einen Blogeintrag veröffentlicht. Doch das Problem des fremden Zugriffs auf Links ist noch nicht komplett gelöst.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.