Οι άνθρωποι που χρησιμοποιούν τις υπηρεσίες αποθήκευσης αρχείων, όπως το Dropbox και ασφαλείας,
είναι να προειδοποιήσει ότι είναι σε κίνδυνο ακούσιας
διαρροή δικά τους αρχεία.
Intralinks - η οποία είναι ένας ανταγωνιστής - είπε ότι βρήκε τα ευαίσθητα αρχεία,
όπως εγγραφές υποθηκών ......
είναι να προειδοποιήσει ότι είναι σε κίνδυνο ακούσιας
διαρροή δικά τους αρχεία.
Intralinks - η οποία είναι ένας ανταγωνιστής - είπε ότι βρήκε τα ευαίσθητα αρχεία,
όπως εγγραφές υποθηκών ......
Το πρόβλημα επικεντρώνεται στην χρήση της λειτουργίας κοινής χρήσης των υπηρεσιών που δημιούργησε μια δημόσια σύνδεσμο.
Ως προληπτικό μέτρο, Dropbox έχει απενεργοποιήσει την πρόσβαση σε συνδέσεις που έχουν ήδη μοιραστεί.
Είπε ότι είχε επίσης εφαρμόσει ένα patch για να αποτρέψει κοινόχρηστα συνδέσεις από το να εκτεθούν από τώρα και στο εξής.
«Αντιλαμβανόμαστε ότι πολλά από τις ροές εργασίας εξαρτώνται από τις κοινές συνδέσεις, και ζητούμε συγγνώμη για την ταλαιπωρία. Θα συνεχίσουμε να εργαζόμαστε σκληρά για να βεβαιωθείτε ότι τα πράγματά σας είναι ασφαλής και να σας κρατάμε ενήμερους για τυχόν νέες εξελίξεις," η εταιρεία ανέφερε σε ένα blog post .
"Δουλεύουμε για να επαναφέρετε τις συνδέσεις που δεν είναι ευπαθή σε αυτό το θέμα ευπάθειας κατά τη διάρκεια των προσεχών ημερών."
Box δεν έχει απαντήσει στο αίτημα του BBC για ένα σχόλιο.
Ερευνητής ασφαλείας Graham Cluley είπε κλέφτες ταυτότητας θα μπορούσε να χρησιμοποιήσει τη μέθοδο για να "μαζέψετε το" δεδομένα.
"Νομίζω ότι αυτές οι υπηρεσίες πρέπει να είναι πιο upfront με προειδοποιήσεις", δήλωσε στο BBC.
Ωστόσο, πρόσθεσε ότι το πρόβλημα δεν ήταν ένα ελάττωμα ασφαλείας ως τέτοια, αλλά αντ 'αυτού μια απροσδόκητη συνέπεια της συμπεριφοράς των χρηστών.
Παραπομπή δεδομένων
Ο κ. Cluley περιέγραψε προτάσεις στο blog του για το πώς οι χρήστες μπορούν να περιορίσουν την πρόσβαση στα δημόσια αρχεία.
Και οι δύο ιστοσελίδες προσφέρουν τρόπους για την ενίσχυση των μέτρων ασφαλείας σε κοινές συνδέσεις, αλλά αυτό περιορίζει την ευελιξία.
«Αυτή είναι η αιώνια μάχη sites όπως αυτό πρόσωπο," ο κ. Cluley πρόσθεσε. "Είναι η ασφάλεια σε σχέση με τη λειτουργικότητα."
Αυτό σημαίνει ότι οι χρήστες είναι σε θέση να στείλει απλά μια διεύθυνση ιστού - που αποτελείται από μια σειρά γραμμάτων και αριθμών - για κάποιον να κατεβάσετε άμεσα ένα αρχείο χωρίς να χρειάζεται να συνδεθείτεDropbox, Box και οι περισσότερες άλλες υπηρεσίες φιλοξενίας σύννεφο συχνά δίνουν στους χρήστες τη δυνατότητα να δημιουργήσετε έναν κοινόχρηστο web link για τα αρχεία τους.
Λόγω της πολυπλοκότητας της σχέσης, είναι πολύ δύσκολο να μαντέψει - πράγμα που σημαίνει ότι, ενώ η σύνδεση είναι τεχνικά κοινό, είναι απίθανο κάποιος θα είναι σε θέση να έχουν πρόσβαση κατά τύχη.
Ωστόσο, Intralinks ανακάλυψε ότι οι δεσμοί που εκτίθενται σε δύο τρόπους που δεν θεωρούνται παρελθόν.
Πρώτον, ανακάλυψε ότι από κοινού οι δεσμοί συχνά εμφανίζεται στα στοιχεία παραπομπής ιστοσελίδων ».
Πολλές ιστοσελίδες εξετάσουμε τα δεδομένα παραπομπή κατά την ανάλυση της κυκλοφορίας τους για να πάρετε μια εικόνα για το πώς οι επισκέπτες πήρε στο site τους.
Intralinks διαπίστωσε ότι αν ένας σύνδεσμος σε μια ιστοσελίδα περιλαμβάνεται σε ένα αρχείο από κοινού στο Dropbox, και στη συνέχεια κάνετε κλικ στο πλαίσιο του θεατή web, ο ιδιοκτήτης ιστοσελίδας θα δείτε την κοινόχρηστη σύνδεση στα δεδομένα της παραπομπής - και ως εκ τούτου να είναι σε θέση να έχουν πρόσβαση στο αρχείο.
Dropbox, δήλωσε μπάλωμα του έχει πλέον καθοριστεί το πρόβλημα.
Οι διαφημίσεις Google
Επιπλέον, η εταιρεία είχε ξεκινήσει μια διαφημιστική καμπάνια στο Google, και είχαν πληρώσει για να έχουν μια αγγελία για Intralinks εμφανίζονται στα αποτελέσματα αναζήτησης της Google κάθε φορά που κάποιος έψαξε για "Dropbox" ή "Box".
Οι εταιρείες που χρησιμοποιούν την υπηρεσία διαφήμισης αναζήτησης της Google απέστειλε ανώνυμα ανάλυση του τι οι χρήστες είχαν αναζητηθεί για να βρει τη διαφήμισή τους.
Intralinks διαπίστωσε ότι πολλοί άνθρωποι θα θέσει ολόκληρο το κοινόχρηστο σύνδεσμο σε ένα πλαίσιο αναζήτησης του Google, και ως εκ τούτου Intralinks θα δούμε στη συνέχεια τις συνδέσεις στα δεδομένα ανάλυση από το Google.
Κατά την αντιγραφή και επικόλληση ένα download link στη μηχανή αναζήτησης της Google μπορεί να φαίνεται περίεργη συμπεριφορά, Intralinks είπε ότι «μερικές εκατοντάδες έγγραφα» είχαν εκτεθεί σε αυτούς με αυτόν τον τρόπο.
Μπάλωμα Dropbox δεν έχει αντιμετωπιστεί το συγκεκριμένο πρόβλημα, ο κ. Cluley είπε.
Chief Technology Officer της Intralink για την Ευρώπη, Μέση Ανατολή και Αφρική Richard Anstey, δήλωσε: «Οι περισσότεροι χρήστες του Διαδικτύου έχουν, σε ένα χρόνο ή άλλο, λάθος επικολληθεί ένα σύνδεσμο στη γραμμή αναζήτησης του αγαπημένη μηχανή αναζήτησής τους, ενώ προτίθενται να το επικολλήσετε στη γραμμή διευθύνσεων στο Ίντερνετ - είναι ένα εύκολο λάθος να κάνει.
"Ωστόσο, αυτό που δεν συνειδητοποιούν είναι ότι όταν πατήστε enter για να εκτελέσετε την αναζήτηση, οι μηχανές διαφήμιση που οδηγούν (και να χρηματοδοτήσουν) η μηχανή αναζήτησης θα διανείμει το σύνδεσμο ως όρο αναζήτησης σε όποιον έχει πληρώσει για μια« adword » που ταιριάζει με οποιοδήποτε μέρος του εν λόγω συνδέσμου. "
*Αναδημοσίευση από bbc.com--------------->
https://blog.dropbox.com
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου