Drop Box corrige une vulnérabilité liée aux liens partagés

Drop Box a été averti d’une vulnérabilité affectant les liens partagés, par lesquels les utilisateurs peuvent donner accès à des personnes sélectionnées à certains de leurs fichiers.

Le cas de figure est très spécifique : un utilisateur partage un fichier dans lequel se trouve un lien vers un site tiers. Le destinataire du fichier partagé clique dans ce lien. Et dans ce cas, le site tiers, par le biais de l’entête HTTP referer, a accès au lien partagé Dropbox, ce qui lui permet d’accéder au fichier.

«Nous n’avons trouvé trace d’aucune exploitation de cette vulnérabilité, qui a été corrigée. Vous n’avez rien à faire», précise Drop Box. Seule conséquence négative, les anciens liens partagés ont été désactivés (ils seront réactivés pour ceux qui ne comportent pas de lien d’ici quelques jours), et il faut en créer de nouveaux pour permettre l’accès aux documents sélectionnés.