Dropbox meldt op het eigen blog dat het een gat heeft gerepareerd waarmee derden toegang krijgen tot opgeslagen en gedeelde documenten. Het lek zat in mogelijk misbruik van een zo geheten referer header, maar is naar weten van Dropbox nog niet misbruikt.

De kwetsbaarheid komt voor als er links naar documenten worden gedeeld, waarbij die betreffende documenten zelf ook een link bevatten, bijvoorbeeld in de tekst. Dropbox geeft gedeelde links namelijk een referer header mee, waarmee het kan zien van waar degene die op de link klikt vandaan komt. "Dat is standaard praktijk en geeft websites inzicht in hun verkeer", schrijft Aditya Agarwal van Dropbox.

Via referer gaat gedeelde link naar derden

Maar als er vervolgens in het gedeelde document op een link wordt geklikt, wordt in de informatie naar de gelinkte site door de referer header tevens de link meegegeven naar het in Dropbox opgeslagen document. Daardoor krijgt de ontvanger van de referer header toegang tot het document.

Dropbox heeft nu oudere gedeelde links naar dergelijke documenten onklaar gemaakt en het gat gepatched. Gebruikers kunnen de onklaar gemaakte links vervangen door nieuwe links te maken.