C’est le français Jean-Pierre Lesueur (DarkCoderSc) qui vient de publier un article très intéressant pointant du doigt une faiblesse des dossiers publics Dropbox permettant de s’emparer des données via fuzzing.
C’est sur son blog que le PoC est expliqué via le titre explicite “Dropbox, a public enemy”. L’exploitation est très simple, il suffit de connaître un ID de compte Dropbox et d’obtenir ce genre d’URL : https://dl.dropboxusercontent.com/u/ID_DU_COMPTE_DROPBOX/.
Ensuite, il montre comment intercepter les données contenues sur le dossier public du compte visé en utilisant un fuzzer (ici wfuzz) et une distribution Linux spécifique au pentest, Kali Linux.
Un Google Dork suffit pour s’emparer d’ID utilisateurs Dropbox : allintext:”dl.dropboxusercontent.com/u/”.
[youtbe OsFQSSd_7Rk nolink]
Le but étant bien sûr d’utiliser une attaque par dictionnaire via brute force afin de tomber sur des fichiers compromettants.
Le but de rendre ce genre de chose public est bien entendu d’éduquer les gens et les utilisateurs afin que ces derniers ne mettent aucun fichier confidentiel sur ce genre de service ouvert à tous (et c’est parfois le cas). Si vous devez mettre des fichiers “sensibles” dans le dossier public, il faudrait au préalable les chiffrer afin de les rendre inutilisable pour une personne malintentionnée, par exemple via TrueCrypt.