В популярном инструменте для синхронизации файлов обнаружена уязвимость, позволяющая просматривать файлы всем желающим.
Обнаруженная ошибка, к сожалению, влияет на весь механизм работы Dropbox. Утилита использует простой конфигурационный файл для объединения различных устройств в единую синхронизированную среду. Этот файл называется config.db и представляет собой таблицу базы данных, которая содержит всего три поля: email, dropbox_path и host_id. Последнее поле не относится к определенному хосту и не меняется со временем. Злоумышленники, используя вредоносные программы, могут получить файл config.db и без особых проблем подключиться ко всем папкам пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому жертва может даже не заметить, что ее файлы украдены.
