10 julio 2014

¿Límite de espacio? No en Dropbox….

Los servicios de almacenamiento están a la orden del día. Los usamos para hacer backup de nuestros datos, para compartir grandes volúmenes de información etc…

La mayoría de estos servicios te dejan un espacio gratuito y te cobran por querer almacenar mas datos. También suelen incluir limitaciones como limitar la velocidad en las descargas.

Uno de los servicios mas usados es Dropbox, tienes una cuenta gratuita si quieres, es multiplataforma e incluso puedes instalarla en tu Smartphone o Tablet.

Con NaxoneZ, se nos ocurrió echarle un vistazo a Dropbox a ver si podíamos encontrar alguna vulnerabilidad en su plataforma para optar al Bug Bounty.

Después de buscar y buscar a NaxoneZ se le ocurrió una manera curiosa de saltarse una de las restricciones que aplica Dropbox, el espacio con la cuenta gratuita.

¿Cómo se explota la vulnerabilidad?

Antes de entrar en detalle, vamos a ver cuanto cuesta el servicio Premium y que características ofrece:


Además de pagar Dropbox ofrece descuentos si eres Universitario si comprabas algún Smartphone de la marca HTC, si invitabas a otros usuarios a formar parte del servicio etc… Es decir, ofrece facilidades para el aumento de espacio.

Pero no contentos con eso, decidimos echarle un vistazo para ver si podíamos hacer Bypass de la restricción. Para ello, no hizo falta nada mas que:

· Alguien que te comparta una carpeta con un tamaño superior al permitido en la cuenta free
· Un navegador
· Cuenta en Dropbox (Obviamente xD)
· Firebug

Lo primero que haremos será compartir una carpeta con un tamaño por ejemplo de 35 GB. Cuando se comparte una carpeta, Dropbox manda una solicitud al usuario al que le has compartido la carpeta.

Cuando el usuario que recibe la invitación quiere aceptar la carpeta, si no dispone de espacio suficiente por el tipo de cuenta que tiene, podrá ver el botón de “Aceptar” deshabilitado y un “bonito” mensaje que pone:

“You need more space to accept this folder".

Yo no quería compartirle la carpeta a NaxoneZ y le dije que pagara la cuenta Premium, “que eran 4 chavos” y que no podría compartirle la carpeta porque no era usuario Premium. Ante eso, solo pudo tomar una posición:
Si le pegamos un vistazo al código fuente, vemos:


Esto lo cambiaremos por:


Una de las líneas importantes a tener en cuenta es:


Deberemos de cambiar ese valor, por el de la carpeta a la que queremos obtener acceso.
Para obtener dicho valor, deberemos de mirar el código fuente del botón donde pone Deny.


Finalmente se consigue tener acceso a la carpeta, saltando la restricción del espacio.
Es gracioso que incluso en el estado de nuestra cuenta aparece que hemos sobrepasado el espacio.


Alguno puede pensar que es un fallo de seguridad tal y como creemos NaxoneZ y yo, pero en cambio Dropbox contestó lo siguiente:

No contentos con la respuesta preguntamos el motivo de no aceptación del fallo.
La respuesta fue:


Obviamente no estamos de acuerdo, ya que si se hiciera de forma masiva, Dropbox podría encontrarse en un grave problema. ¿Vosotros que opináis?

Por otro lado, la camiseta prometida por el “fallo” nunca ha llegado, pero si el aumento de espacio. Pero… Lo del espacio ya lo teníamos, ¿Qué  hemos ganado? xD

Este es uno de los ejemplos en los cuales se ve claramente como no es aceptado un fallo usando la opción de Bug Bounty que ofrecen algunas empresas.

Para no tener problemas con la publicación, avisamos de que lo haríamos público (ahí pensamos que se tirarían para atrás), pero nuestra sorpresa fue recibir esto

Así que nada, si no es importante a nadie le importará que lo hagamos público

Artículo cortesía de @NaxoneZ y @Seifreed

33 comments :

Cervantes dijo...

"limitaciones
como limitar", que buena redacción.

crock dijo...

que wena entrada, muy interesantey divertida, espero ver ese polo!!

BhEaN dijo...

Buenísimo... ya no el bug en si o cómo habeis conseguido saltaros la restricción (que también, por supuesto) sino las respuestas de Dropbox... pero, qué se puede esperar de una empresa en la que aceptan a Condolezza Rice como parte de su Directiva? :facepalm:

lagartyjo dijo...

+1 a SBD. -1 a Dropbox.

Riva Silvercrown dijo...

muy interesante... una cosa, alguna posibilidad de que tengáis el análisis en inglés? que me lo han pedido un par de mis colegas angloparlantes ;)

Visual dijo...

Cierto que puede comprometer la estabilidad del sitio si se hace de forma masiva pero me surgen dudas de que se trate de un fallo de seguridad.


De todas formas es vergonzoso que una empresa de esa embergadura tenga un fallo de esas características, es que hoy en día es básico preveer ese ataque.


Buen trabajo de todas formas.

furioso dijo...

Pero esta arreglado? Ya ha caido Dropbox?

sbdf dijo...

Siento discrepar pero creo que Dropbox tiene razón, es un bug y no un problema de seguridad, no hay fuga de datos ni sistemas dañados que no funcionan bien de cara al usuario.

akae dijo...

Yo tampoco veo que sea un fallo de seguridad, más allá de que no comprueben si la solicitud que les llega por la web es válida. Tampoco veo que les pueda causar un problema de espacio, ya que no duplican los ficheros al compartirlos con una segunda cuenta y no mencionáis si, tras borrar el contenido de la carpeta, sigue habiendo 35Gb de espacio disponible para el usuario "tramposo". De todas formas, ¡buen trabajo!

Sloth dijo...

Menudos noobs los de dropbox

Daniel dijo...

Estoy con Akae, creo que la razón que sólo lo considere un bug es porque no deben ser reales. Que te compartan una carpeta de dropbox no debería limitarte tu tamaño de cuenta. Hay que hacer algunas pruebas más. Como mínimo ya se como recibir ficheros grandes con una cuenta limitada de dropbox, algo es algo :)

jaimehrubiks dijo...

Escritor del blog:
Creo que hay una cosa que no entendéis. Me explico:
Cuando habéis enviado el reporte, ellos lo han aceptado y el equipo técnico ha planeado su reparación, lo que te quieren decir en la primera respuesta es que efectivamente es un bug y lo van a reparar, pero no te pueden colocar el "apartado web de agradecimiento".
No te están diciendo que no lo aceptan, te están diciendo que no pueden colocar tu nombre en la web ya que sólo lo colocan si ayudas a reparar un "security vulnerability" es decir, un error que afecte a la seguridad de la web. En ningún momento deniegan tu reporte.

k~ dijo...

Yo encontré otra bastante cutre de cuando regalaban 50GB por tener un móvil samsung:

Flasheando varias veces el móvil y registrando cuentas diferentes te daba 50 en cada una. Luego las asociabas todas a la que querías usar y listo.

raul dijo...

Yo estoy de acuerdo en que es un bug y no un riesgo para la reguridad. Hay que ser objetivo con uno mismo.

Grog dijo...

En efecto, no es un fallo de seguridad. Además no habéis comentando una cosa: a pesar de que el sistema te permite aceptar esa carpeta compartida lo que no os deja luego es añadir más ficheros, es decir, no es un incremento real del espacio disponible en la cuenta de uno, sino simplemente saltarse el filtro para compartir una carpeta que en principio no podrías, pero NO se incrementa el tamaño de tu cuenta, por eso no te permitiría añadir nuevos ficheros para sincronizarlos...

anon dijo...

Piensa que puedes crearte una cuenta, compartir una carpeta y así sucesivamente. Por lo que podrías añadir nuevos ficheros de manera ilimitada.

darkgrave dijo...

Buenas

Al margen de la discusion de si es o no es un fallo de seguridad, esto ni siquiera le perjudica a Dropbox económicamente (más espacio consumido, más les cobra Amazon). Si alguna vez os habéis puesto a investigar cómo hace Dropbox para "ahorrarse" espacio de clientes es no duplicando datos. No solo, obviamente, en las carpetas compartidas, sino entre usuarios totalmente desconocidos. Mismo archivo, una única copia. Probad a subir una ISO de un CD a vuestra cuenta y luego decidle a un amigo que la suba la misma ISO a la suya. El toempo de su ida de vuestro amigo será ínfimo.

Yo diría que guardan un índice de hashes, tamaños y archivos. El cliente hace los hashes y comprueba tamaño, si coincide: fiesta! Ancho de banda y espacio de almacenamiento ahorrados!

Por lo tanto, si te llenan el espacio con un archivo gigantesco mejor para ellos. No les puedes usar ms espacio ni ancho de banda subiendo archivos tuyos y a ellos no les cuesta...

Saludos y seguid haciendo este buen trabajo!

Jesús Juárez dijo...

Desde luego hay que ser muy cutre para no hacer una validación en servidor de lo que se envía desde el cliente... Es increíble que en servicios tan populares pasen estas cosas.

Linuxito dijo...

Patético, se expusieron a un DoS, salvo que tengan implementado un datastore con espacio = ꝏGB

Julian Alonso Forcelledo dijo...

"Obviamente
no estamos de acuerdo, ya que si se hiciera de forma masiva, Dropbox podría
encontrarse en un grave problema. ¿Vosotros que opináis?"

Que no tendrían ningún problema en absoluto. Si trabajan con deduplicación, tan solo almacenan una copia de la carpeta compartida.

El problema podría existir en caso de poder saltarse el límite al subir un archivo nuevo, que no es el caso.

Un fallo curioso, pero para nada un agujero

sednomen dijo...

Yo también pienso que lo controlan todo con el hash Grachi bo del archivo de hecho pienso que ocurre lo mismo con el drive y con el wasap y me pregunto si el hash es un dato que puedo falsear la intención sería conocer y falsear Eljas de un torrent que me quiero bajar y que probablemente ya no tenga alguien ha alojado en una cuenta de Dropbox pues la idea es que yo intento subir un fichero conejas esto lo hará inmediatamente y comparto la carpeta realmente desde la otra cuenta cuando intente bajar el fichero estoy bajando el que está alojado en Dropbox que será realmente el que se está compartiendo con torrent por lo tanto obtengo descarga directa e inmediata de un fichero a través de Dropbox sin necesidad de tener el torrent corriendo hablo siempre de ficheros realmente populares hizo y demás que no puedo bajar por ejemplo en el trabajo a través de Torrent pero si podía bajar con este método a través de Dropbox

ravasquez dijo...

En mi opinion si es considerado un fallo de seguridad porque te podes saltar una restriccion en este caso de espacio, lastima que no te lo aceptacion pero por lo menos tenes 100gb de espacio y una t-shirt que llegara algun dia xD.

kosmos224 dijo...

*envergadura

yio dijo...

Cosas de este estilo provocan que algunos se sientan tentados a vender el bug, o a publicarlo directamente sin avisarles. Dropbox debería tratar de tener algo más de mano izquierda con estas cosas.

David dijo...

No puedes. Los hashes tienen una probabilidad de collision infima por lo que deberías general el mismo archive prácticamente. Es un problema simple general un hash de un data pero NP el proceso contrario.

kosmos225 dijo...

*prever

Óscar García Amor dijo...

Lo que vosotros comentáis tiene un nombre, deduplicación de datos, y es mas potente que hacer hash a un fichero.


Os comento, si tu tienes una imagen ISO con un nombre y yo tengo la misma imagen ISO pero con un nombre distinto el hash del fichero no coincide pese a ser idénticos, por lo que con ficheros completos no es muy eficaz.


Lo que se hace es deduplicar esos datos, es decir, coges los ficheros y los troceas en pequeños fragmentos de los cuales calculas la suma, si dos fragmentos tienen la misma suma es que son idénticos. Esto te permite incluso tener diferentes versiones de un mismo fichero y almacenar únicamente los cambios.


Lo que yo ya no tengo tan claro es que eso lo hagan entre usuarios, porque entonces estarían almacenando los ficheros sin cifrar y, un ataque a los almacenes de datos, y te llevas el premio gordo.


Saludos.

NaxoneZ dijo...

Gracias por los comentarios y estas aclaraciones sobre la deduplicación de datos. Yo también me pregunto como almacenan los datos y por eso depende de como lo hagan, sigo pensando que se podría hacer una denegación... pero como digo, todo depende de como lo tengan montado...


Realmente no tuve ninguna contestación por parte de Dropbox aclarando este aspecto por lo que no puedo aportar ningún dato "interesante" sobre esta cuestión :(


Saludos y gracias nuevamente.

leirus dijo...

"Por otro lado, la camiseta prometida por el “fallo” nunca ha llegado, pero si el aumento de espacio. Pero… Lo del espacio ya lo teníamos, ¿Qué hemos ganado? xD"

JAJAJAJAJAJAJAJA ¡QUÉ GRANDE CARAJO!

David Avila dijo...

Es un bug, al final la carpeta está en tu espacio, no en el de él, igual que en Google Drive, lo que te comparten es ilimitado para ti, pero a tus colegas si les consume su espacio de almacenamiento, al final el bug solamente muestra una barra en rojo pero por debajo el usuario sigue con su espacio disponible

Leo dijo...

no es preocupacion porque el espacio lo pago otro si usas esta carpeta compartida, estas usando su espacio, mi duda es como conseguir que te comparta alquien con espacio

leo dijo...

duda. como haces para que no vea tus cosas el que te compartio la carpeta

carlos dijo...

Cuando menos sorprendente... Hay que compartir como hacen los de dropbox