El fallo afectaba a los enlaces compartidos a archivos que contenían hipervínculos.
Dropbox es un servicio de almacenamiento de archivos en la nube, que se sincroniza con el equipo del usuario para mantener el mismo contenido en ambos lados. El usuario puede generar enlaces al archivo o carpeta en su Dropbox y compartirlo con un tercero para que éste pueda acceder al contenido del archivo o carpeta. Esta característica de compartir archivos o carpetas vía enlace sólo es accesible por la persona que tiene el enlace.
Al revisar los datos de sus campañas en Google Adwords, el proveedor de gestión de contenidos Intralinks encontró las direcciones URL completas a archivos compartidos en Dropbox. Algunos de estos archivos eran documentos con información sensible -devolución de impuestos, registros bancarios, planes de negocio, entre otros- y no requerian contraseña para ser descargados.
Al hacer click en un enlace en cualquier navegador, la página web de destino identifica la página web de origen. Para ello utiliza la cabecera HTTP de la página web de origen, la que creó el vínculo con la página solicitada. Es decir, aprende de dónde viene el usuario. El encabezado HTTP se diseñó para permitir que los sitios web entendieran mejor las fuentes de tráfico, una práctica habitual en todos los navegadores.
El fallo permitía que los enlaces compartidos a los documentos fueran revelados a destinatarios no deseados, sin advertencia alguna, de acuerdo con el siguiente escenario:
- El usuario de Dropbox comparte un enlace a un documento que contiene un hipervínculo a un sitio web de terceros.
- El usuario, o un destinatario autorizado del enlace, hace click en el hipervínculo dentro del documento.
- En ese punto la cabecera HTTP divulga el enlace original compartido al sitio web de un tercero.
- Alguien con acceso a la cabecera HTTP, por ejemplo el webmaster del sitio web del tercero, podría entonces acceder al enlace al documento compartido.
Dropbox ha corregido el fallo y los usuarios pueden estar tranquilos. Dropbox ha desactivado el acceso a los enlaces compartidos antes del fallo descubierto. Es recomendable que el usuario vuelva a generar los enlaces compartidos que han sido desactivados por razón del fallo descubierto accidentalmente por Intralinks.
Las cuentas de Dropbox para Negocios tienen la opción de restringir el acceso al enlace compartido a la gente en su equipo de Dropbox para Negocios. Los enlaces creados con estos controles de acceso no se vieron afectados.