Google heeft een kwetsbaarheid in Google Drive verholpen waardoor de locatie van gedeelde bestanden door derden achterhaald kon worden. Het betrof een referer-lek dat recent ook bij Dropbox werd ontdekt. De kwetsbaarheid ontstond als iemand op Google Drive een document met een HTTPS-link deelde.
Zodra internetgebruikers in hun browser op een link klikken zorgt de 'referer header' ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is. Deze informatie helpt websites om bezoekersstromen beter in kaart te brengen. In het geval van Google Drive veroorzaakte dit een beveiligingsrisico, omdat serverbeheerders of webmasters in hun logs de referer header kunnen zien, en zo de link naar het Google Drive-bestand kunnen achterhalen en het bestand zelf kunnen downloaden.
Google benadrukt dat het probleem zich alleen voordeed bij geüploade bestanden waarvan het oorspronkelijke formaat, zoals .doc, .xls of. pdf, niet was gewijzigd naar het Google-formaat van Docs, Sheets of Slide. Vervolgens moest de eigenaar van het bestand instellen dat het bestand voor iedereen toegankelijk was die over de link beschikte.
De kwetsbaarheid werd door een externe onderzoeker ontdekt en via het beloningsprogramma van Google gerapporteerd. Als oplossing zullen links naar HTTPS-websites in nieuw gedeelde bestanden niet meer de locatie van het bestand prijsgeven. Gebruikers die nog oude bestanden delen kunnen ervoor kiezen om een nieuwe "sharing link" te genereren waardoor het probleem ook bij deze bestanden wordt verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.