Comme moi, vous utilisez certainement Dropbox. Eh bien méfiez-vous…
Ce service de stockage et de partage de fichiers en ligne (Cloud) est devenu très populaire (simple et efficace). Ce service est accessible depuis n’importe quel navigateur. Il est également possible d’utiliser un client sur votre système (Linux, Mac, Windows, iOS, Android, Blackberry). La version gratuite permet de stocker jusqu’à 2Go de données (extensibles à 10 grâce au parrainage).
Nous venons d’apprendre, qu’une faille a été découverte. Grâce à l’utilisation d’un client (préalablement installé), il est « facilement » possible d’accèder aux données d’un autre utilisateur.
Je ne vais pas vous détailler la procédure, mais voici les grandes lignes…
Le client installé sur votre machine (ex Windows) utilise des fichiers de configuration propres à Dropbox (données de configuration, listes des répertoires/fichiers, etc) et sont stockées dans une base de données SQLite. De nombreux fichiers sont situés dans « %APPDATA%\Dropbox ». Dans un de ces fichiers se trouve une ligne contenant un « HOST_ID« . Cet identifiant serveur permet d’authentifier chaque utilisateur individuellement.
Il suffit alors de prendre « HOST_ID » d’un autre utilisateur Dropbox, pour vous authentifier automatiquement sur le compte de votre victime, avec un accès complet.