Не секрет, что в документы MS Office или PDF можно вставить специальные следящие скрипты для проверки, с какого IP открыли файл, в какое время и т.д. Такими средствами давно пользуются маркетологи. Каждый раз при открытии файла документ отправляет GET-запрос на удаленный сервер, где регистрируется это событие. Среди прочих, возможность внедрения следящих скриптов предлагает сервис HoneyDocs.

Один из пользователей HoneyDocs внедрил скрипт в файл passwords.doc — и закачал его в свою личную папку Dropbox. Каково же было его удивление, когда через 10 минут на сервере появилось сообщение, что файл открыт. Ведь он еще ни с кем не делился ссылкой, да и вообще закачал файл в персональную папку, к которой запрещен посторонний доступ.

Пользователь продолжил свой эксперимент. Он удалил файл и закачал его повторно. В этот раз посторонних посещений не было, но они были для каждого нового файла, который попадал в персональную папку.

Любопытно, что доступ к файлам осуществлялся с разных IP-адресов на разных инстансах Amazon EC2.

Еще один любопытный факт: судя по User Agent, открытие файлов осуществляется в редакторе LibreOffice.

Можно предположить, что Dropbox автоматически сканирует все новые файлы на предмет нелегальных материалов или для генерации превьюшек, или для поискового индекса, или еще для каких-то целей. Остается надеяться, что сотрудники компании не будут злоупотреблять возможностью чтения чужих документов и не предоставят эту возможность посторонним лицам.