В популярном инструменте для синхронизации файлов обнаружена уязвимость,
позволяющая просматривать файлы всем желающим.
Обнаруженная ошибка, к сожалению, влияет на весь механизм работы Dropbox.
Утилита использует простой конфигурационный файл для объединения различных
устройств в единую синхронизированную среду. Этот файл называется config.db и
представляет собой таблицу базы данных, которая содержит всего три поля: email,
dropbox_path и host_id. Последнее поле не относится к определенному хосту и не
меняется со временем. Злоумышленники, используя вредоносные программы, могут
получить файл config.db и без особых проблем подключиться ко всем папкам
пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому
жертва может даже не заметить, что ее файлы украдены.
К сожалению, пока нет никаких средств защиты.
