22 may. 2012

Cuidado con lo que publicas en Dropbox, podría ser indexado

Es sabido que los archivos de Dropbox se sincronizan entre los clientes y el servidor y también se proporcionan funciones para compartir los archivos con terceros que no tienen una cuenta de Dropbox. ¿Cómo? Mediante la creación de "enlaces públicos" a esos archivos.
Es muy fácil: en la carpeta de Dropbox al seleccionar un archivo se puede obtener un vínculo público y la URL se verá así: "http://www.dropbox.com/s/wg0ih0qywujn77y/myfile.zip".

Pero si los archivos están disponibles a través de HTTP(S), esto significa que cualquiera puede acceder a ellos. Sólo tenemos que "adivinar" las direcciones y URL válidas. Adivinar cadenas de 15 caracteres es factible (fuerza bruta) pero requerirá mucho tiempo. ¿Dónde podemos encontrar un montón de URLs existentes? En los motores de búsqueda, por supuesto.

En Rootshell han escrito un rastreador de Google que funcionó durante diez días y buscó páginas que tengan el patrón "http[s]://[dl|www].dropbox/s/*". Por cada URL encontrada, se extraían los enlaces compartidos de Dropbox. Por último, todas las URL encontradas fueron visitadas (500.000+ páginas fueron procesadas​​) y los datos descargados.

Los archivos fueron descargados desde Dropbox por lotes y nunca se bloqueó el tráfico. Todos los archivos fueron revisados, obteniendo las siguientes conclusiones:
  • 2240 URL única Dropbox se encontraron
  • 1762 archivos fueron descargados (HTTP 200)
  • 116 peticiones devolvió un error HTTP 403
  • 332 peticiones devolvió un error HTTP 404
  • 45.57 GBytes se ha descargado
  • El mayor archivo fue 2.09GB (un archivo RAR con los archivos WAV).
  • Tamaño promedio de archivo: 26.32MB
Si bien Dropbox no revela quién compartió el archivo y no hay manera de encontrar el propietario de la cuenta, es posible obtener su información personal en base a los archivo compartidos.
Como conclusión, tenga en cuenta que los archivos compartidos pueden ser leídos por cualquiera. Esta característica debe ser utilizada con el debido cuidado y atención.

Cristian de la Redacción de Segu-Info

2 comentarios:

  1. Mi pregunta es si se pueden descargar o leer los archivos ¿ tambien seria posible modificar o borrar esos archivos ?

    ResponderEliminar
  2. Anónimo: lo que dejas en la carpeta pública de dropbox es, como su propio nombre indica, público. Si no quieres que nadie se lo descargue, hay otras carpetas para dejarlo.
    Respondiendo a tu pregunta, los datos que ves son solo de consulta. Para poder modificarlos hay que autenticarse debidamente.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!