全球***的個(gè)人云存儲(chǔ)服務(wù)商Dropbox是商務(wù)人士移動(dòng)辦公的流行應(yīng)用，但是近日Dropbox爆出一個(gè)極為嚴(yán)重的漏洞，通過鏈接方式分享的企業(yè)和個(gè)人敏感文檔可能會(huì)出現(xiàn)在Google的搜索結(jié)果中。

[[112920]]

Dropbox在聲明中指出：

Drpbox用戶可以通過鏈接的方式分享文檔或文件夾，一般來說只有收到鏈接的用戶才能打開文檔。但是文檔分享鏈接下面這種情況中可能會(huì)被泄露給無關(guān)的人：

Dropbox用戶分享的文檔中含有第三方網(wǎng)站的超文本鏈接

任何人(包括用戶和非授權(quán)人士)點(diǎn)擊了文檔中的超鏈接

此時(shí)，HTTP引用報(bào)頭會(huì)把dropbox的文檔分享鏈接也泄露給第三方網(wǎng)站

任何能夠訪問此報(bào)頭的人，例如第三方網(wǎng)站管理員，可以通過這個(gè)鏈接獲取Dropbox用戶分享的文檔。

Dropbox的一個(gè)競爭對(duì)手——Intralinks的Graham Cluley在進(jìn)行關(guān)鍵詞搜索時(shí)發(fā)現(xiàn)了這個(gè)漏洞，他發(fā)現(xiàn)在Google搜索結(jié)果中居然有很多是Dropbox中的用戶文檔分享鏈接，包括稅收、財(cái)務(wù)記錄、商業(yè)計(jì)劃等很多敏感信息。

Cluley指出Dropbox的文檔主要通過兩種方式被泄露：一種是文檔分享鏈接泄露漏洞(出現(xiàn)在Google搜索結(jié)果中)，另外一個(gè)是超文本鏈接泄露漏洞(泄露給第三方網(wǎng)站管理員)。

***種泄露方式是當(dāng)用戶錯(cuò)誤將Dropbox文檔分享鏈接粘貼到Google搜索框而不是瀏覽器地址欄引發(fā);而第二種泄露方式的觸發(fā)則是用戶點(diǎn)擊了分享文檔中指向第三方網(wǎng)站的超文本鏈接。

目前Dropbox表示已經(jīng)采取以下措施防止漏洞造成更多損失：

在接到新的通知前，此前分享的含有漏洞的文檔將暫時(shí)被禁止訪問，Dropbox未來幾天將恢復(fù)那些不受此漏洞影響的文檔分享鏈接。

在此期間，建議Dropbox用戶立刻重新創(chuàng)建任何已經(jīng)被分享的文檔(目前被禁止訪問)的文檔分享鏈接。

新創(chuàng)建的文檔分享鏈接不再存在此漏洞。

Dropbox企業(yè)版用戶可以限制文檔分享在團(tuán)隊(duì)內(nèi)部，以這種方式創(chuàng)建的文檔分享鏈接不受此次漏洞影響。

安全牛點(diǎn)評(píng)：Dropbox這樣的個(gè)人云存儲(chǔ)服務(wù)的流行一直是企業(yè)IT安全管理者頗為頭疼的問題，也是企業(yè)APP黑名單榜首的常客，相對(duì)保守的企業(yè)如IBM在內(nèi)部的BYOD政策中明令禁止使用dropbox，但更多的企業(yè)IT部門則扛不住業(yè)務(wù)部門甚至管理者的壓力，放任業(yè)務(wù)部門使用Dropbox之類的文檔分享和團(tuán)隊(duì)協(xié)作應(yīng)用，這是非常危險(xiǎn)的。企業(yè)應(yīng)當(dāng)實(shí)施明確的BYOD政策，而成熟的移動(dòng)應(yīng)用管理的標(biāo)志之一就是APP的黑名單白名單機(jī)制(甚至企業(yè)移動(dòng)應(yīng)用商店)。