Luca Annunziata

Cloud storage, attenti al link

Dropbox ammette, Box ci pensa. Cartelle e documenti condivisi attraverso le piattaforme online possono finire nelle mani sbagliate. Per la disattenzione di chi li gestisce

Roma - La scoperta l'ha fatta Intralinks, che nel campo del cloud storage è un concorrente: Dropbox e Box soffrono di un male legato all'incuria e alla disattenzione degli utenti, un problema tale per il quale i dati conservati nei dischi virtuali in Rete possono finire per essere liberamente disponibili a chiunque. Un problema che ovviamente non afflige i servizi Intralinks, ma il fatto che Dropbox abbia sentito il bisogno di rassicurare i propri utenti significa (forse) che dietro il fumo c'è anche dell'arrosto.

Quanto scoperto da Intralinks, e raccontato sul blog aziendale, è senz'altro interessante: nei propri registri delle visite i tecnici dell'azienda hanno trovato riferimenti diretti a documenti ospitati dalle piattaforme concorrenti. Mentre conducevano una rassegna dei risultati di una campagna pubblicitaria, si sono accorti che nel campo "referral" (l'indirizzo di provenienza di un browser che visita una pagina) c'erano le URL complete e perfettamente funzionanti di una serie di file: alcuni erano anche di natura sensibile, visto che contenevano informazioni sulla denuncia dei redditi, informazioni commerciali, richieste di mutuo ecc.

Come possono questi link essere finiti in un registro delle visite, soprattutto quello relativo a una campagna pubblicitaria? Č presto detto: sia Dropbox che Box, ma anche OneDrive, consentono di condividere un documento ospitato sullo spazio virtuale tramite un link da fornire ai propri contatti, un metodo comodo per fornire a un parente o un collega il materiale che gli occorre, ma che non è scevro da complicazioni sul piano della riservatezza. L'utente poco accorto potrebbe aver confuso il campo della barra degli indirizzi con quello della ricerca, e tra i risultati proposti da Google aver cliccato il primo, ovvero il banner AdSense pagato proprio da Intralinks. Il referral, in questo caso, sarà una stringa contenente l'indirizzo di Google seguito, poi, dalla chiave inserita per la ricerca: ovvero l'URL del documento condiviso.
In alternativa, un indirizzo del dominio di Interlink (o di qualsiasi altro sito) potrebbe essere inserito in un documento ospitato nel cloud storage altrui: un elenco di siti da visitare, un riferimento a del materiale da consultare, qualsiasi sia la natura del link, cliccandoci si fornirà ancora una volta un referral contenente la URL del documento in questione. Ancora una volta, nei log altrui finirà l'indirizzo utile a consultare indebitamente il materiale online.

Dropbox ha immediatamente preso l'iniziativa per contrastare questo tipo di intromissione: i link fin qui generati sono stati disabilitati (dunque non funzioneranno più, e occorrerà fornirne di nuovi ai proprio conoscenti), i nuovi link conterranno misure di protezione atte ad evitare questo tipo di sfortunato accadimento, e rimandato gli utenti della versione Business del servizio alle impostazioni di privacy di ogni singolo documento. Box, dal canto suo, per ora non ha voluto commentare nello specifico quanto raccontato da Intralinks, rimandando alle funzioni di condivisione di tutti i suoi account che, se ben utilizzate, permetterebbero già di tenere maggiormente al sicuro i propri file.

Luca Annunziata
21 Commenti alla Notizia Cloud storage, attenti al link
Ordina
  • Il problema non ha a che fare con il cloud in se, poteva succedere per altre applicazioni, ma come dice l'articolo : L'utente poco accorto potrebbe _aver confuso il campo della barra degli indirizzi con quello della ricerca_, e tra i risultati proposti da Google aver cliccato il primo, ovvero il banner AdSense pagato proprio da Intralinks.

    io comunque ho comprato MyPcbackup dopo aver letto questa recensione e non ho mai avuto problemi: http://www.tenbestcloud.com/it/Cloud-Providers/myp...)
  • ma se è proprio quello che google vuole e sta cercando in tutte le maniere di imporre da anni..
    non+autenticato
  • - Scritto da: AxAx
    > ma se è proprio quello che google vuole e sta
    > cercando in tutte le maniere di imporre da
    > anni..

    .. e che ha di fatto già imposto con Chrome
    non+autenticato
  • - Scritto da: Osvaldo
    > - Scritto da: AxAx
    > > ma se è proprio quello che google vuole e sta
    > > cercando in tutte le maniere di imporre da
    > > anni..
    >
    > .. e che ha di fatto già imposto con Chrome

    Vediamo: se scrivi una URL valida nella barra degli indirizzi, Chrome ti propone i risultati della ricerca oppure va direttamente a quella URL, come qualsiasi altro browser?
    Izio01
    4027
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Izio01
    >
    > > Vediamo: se scrivi una URL valida nella barra
    > > degli indirizzi, Chrome ti propone i
    > risultati
    > > della ricerca oppure va direttamente a quella
    > > URL, come qualsiasi altro
    > > browser?
    >
    >
    > La vera domanda da farsi è: l'autocompletamento
    > abilitato di default, manda l'indirizzo che stai
    > digitando/incollando ai server di
    > Google?

    L'altro giorno mi sono accorto che anche Firefox gioca piuttosto sporco (di default).
    Andate a guardare about:config, cercando "safebrowsing"....
    -----------------------------------------------------------
    Modificato dall' autore il 08 maggio 2014 10.39
    -----------------------------------------------------------
  • - Scritto da: Albedo 0,9
    > - Scritto da: unaDuraLezione
    > > - Scritto da: Izio01
    > >
    > > > Vediamo: se scrivi una URL valida nella
    > barra
    > > > degli indirizzi, Chrome ti propone i
    > > risultati
    > > > della ricerca oppure va direttamente a
    > quella
    > > > URL, come qualsiasi altro
    > > > browser?
    > >
    > >
    > > La vera domanda da farsi è:
    > l'autocompletamento
    > > abilitato di default, manda l'indirizzo che
    > stai
    > > digitando/incollando ai server di
    > > Google?
    >
    > L'altro giorno mi sono accorto che anche Firefox
    > gioca piuttosto sporco (di
    > default).
    > Andate a guardare about:config, cercando
    > "safebrowsing"....

    E' una funzione antiphishing, che puoi tanquillamente disabilitare se sei masochista.
  • - Scritto da: panda rossa
    > E' una funzione antiphishing, che puoi
    > tanquillamente disabilitare se sei
    > masochista.

    Lo so, è una funzione che interroga i server Google per conoscere l'affidabilità del sito.

    Più che altro sono rimasto sorpreso nello scoprire che anche le richieste LAN tipo 192.168.1.30:8080 vengono comunque inviate a Google.

    Se fossi paranoico potrei arrivare a pensare che è un ottimo sistema per tracciare indirettamente l'utenza (in WAN e in LAN), anche se si usa un browser non Chrome.
    -----------------------------------------------------------
    Modificato dall' autore il 08 maggio 2014 11.46
    -----------------------------------------------------------
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Albedo 0,9

    > > L'altro giorno mi sono accorto che
    > > anche Firefox gioca piuttosto sporco (di
    > > default).
    > > Andate a guardare about:config, cercando
    > > "safebrowsing"....

    > disabilitato il giorno stesso in cui l'hannno
    > introdotto...

    Ho notato che la versione 29 mi aveva cambiato delle cose che avevo modificato in passato nella configurazione. Meglio controllare ogni tanto.
    krane
    22544
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Izio01
    >
    > > Vediamo: se scrivi una URL valida nella barra
    > > degli indirizzi, Chrome ti propone i
    > risultati
    > > della ricerca oppure va direttamente a quella
    > > URL, come qualsiasi altro
    > > browser?
    >
    >
    > La vera domanda da farsi è: l'autocompletamento
    > abilitato di default, manda l'indirizzo che stai
    > digitando/incollando ai server di Google?

    Sicuramente sì, ma in questo specifico caso è abbastanza irrilevante. I link ai file nel cloud non li digiti praticamente mai, sono sequenze casuali di lettere e numeri, li copi e incolli oppure li apri direttamente dalla email. Il problema indicato dall'articolo parla specificamente di link inseriti nel campo di ricerca anziché nella barra degli indirizzi.
    Izio01
    4027
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > lavorano meglio i cyberlocker vecchia maniera che
    > per ogni documento generano un url limitato nel
    > tempo e valido per il solo IP che l'ha
    > richiesto.
    >
    > Se tale URL finisse in mani di terzi non
    > porterebbe a nulla.

    Ma questi sono gli URL che generi proprio per la condivisione con terzi, non avrebbe senso legarli all'IP richiedente! Esempio tipico: ti devo mandare un allegato da 15 MB? Lo salvo in One Drive e ti mando il link della condivisione.
    Giustissimo invece il discorso sulla durata limitata.
    Izio01
    4027
  • - Scritto da: Izio01
    > - Scritto da: unaDuraLezione
    > > lavorano meglio i cyberlocker vecchia
    > maniera
    > che
    > > per ogni documento generano un url limitato
    > nel
    > > tempo e valido per il solo IP che l'ha
    > > richiesto.
    > >
    > > Se tale URL finisse in mani di terzi non
    > > porterebbe a nulla.
    >
    > Ma questi sono gli URL che generi proprio per la
    > condivisione con terzi, non avrebbe senso legarli
    > all'IP richiedente! Esempio tipico: ti devo
    > mandare un allegato da 15 MB? Lo salvo in One
    > Drive e ti mando il link della
    > condivisione.
    > Giustissimo invece il discorso sulla durata
    > limitata.

    Ancora meglio: ti mando il link di condivisione, tu lo visiti (inizi il download), il server lo lega esclusivamente al tuo IP e dopo la scadenza temporale lo invalida definitivamente.
  • - Scritto da: Albedo 0,9
    > - Scritto da: Izio01
    > > - Scritto da: unaDuraLezione
    > > > lavorano meglio i cyberlocker vecchia
    > > maniera
    > > che
    > > > per ogni documento generano un url
    > limitato
    > > nel
    > > > tempo e valido per il solo IP che l'ha
    > > > richiesto.
    > > >
    > > > Se tale URL finisse in mani di terzi non
    > > > porterebbe a nulla.
    > >
    > > Ma questi sono gli URL che generi proprio
    > per
    > la
    > > condivisione con terzi, non avrebbe senso
    > legarli
    > > all'IP richiedente! Esempio tipico: ti devo
    > > mandare un allegato da 15 MB? Lo salvo in One
    > > Drive e ti mando il link della
    > > condivisione.
    > > Giustissimo invece il discorso sulla durata
    > > limitata.
    >
    > Ancora meglio: ti mando il link di condivisione,
    > tu lo visiti (inizi il download), il server lo
    > lega esclusivamente al tuo IP e dopo la scadenza
    > temporale lo invalida
    > definitivamente.

    Assolutamente sì! Chissà se dopo questa defaillance inizieranno anche loro a pensare a soluzioni così semplici eppure così efficaci.
    Oggi, se voglio condividere un file da One Drive mediante link, posso solo scegliere di pubblicare in accesso completo o sola lettura, e non ci sono date di scadenza prefissate o configurabili. Non è il top, in effetti.
    Izio01
    4027
  • Mai fidarsi ad occhi chiusi dei cloud, qualsiasi essi siano (dropbox, box, skydrive, icloud, gdrive, xxx).

    Prima di mettere qualcosa di sensibile nelle cartelle remote, anche private, prima criptare sempre i dati (a limite anche con l'AES-256 di qualche ziptool).
  • Ma da quello che ho capito il "problema" che gli utenti digitano URI privato sul motore di ricerca
    non+autenticato
  • contenuto non disponibile
  • Ma l'articolo dice questo

    L'utente poco accorto potrebbe _aver confuso il campo della barra degli indirizzi con quello della ricerca_, e tra i risultati proposti da Google aver cliccato il primo, ovvero il banner AdSense pagato proprio da Intralinks. Il referral, in questo caso, sarà una stringa contenente l'indirizzo di Google seguito, poi, dalla chiave inserita per la ricerca: ovvero l'URL del documento condiviso.
    non+autenticato
  • contenuto non disponibile