Не секрет, что в документы MS Office или PDF можно вставить
специальные следящие скрипты для проверки, с какого IP открыли файл, в
какое время и т.д. Такими средствами давно пользуются маркетологи.
Каждый раз при открытии файла документ отправляет GET-запрос на
удаленный сервер, где регистрируется это событие. Среди прочих,
возможность внедрения следящих скриптов предлагает сервис HoneyDocs.
Один из пользователей HoneyDocs внедрил скрипт в файл passwords.doc —
и закачал его в свою личную папку Dropbox. Каково же было его
удивление, когда через 10 минут на сервере появилось сообщение, что файл
открыт. Ведь он еще ни с кем не делился ссылкой, да и вообще закачал
файл в персональную папку, к которой запрещен посторонний доступ.
Пользователь продолжил свой эксперимент. Он удалил файл и закачал его повторно. В этот раз посторонних посещений не было, но они были для каждого нового файла, который попадал в персональную папку.
Любопытно, что доступ к файлам осуществлялся с разных IP-адресов на разных инстансах Amazon EC2.
Еще один любопытный факт: судя по User Agent, открытие файлов осуществляется в редакторе LibreOffice.
Можно предположить, что Dropbox автоматически сканирует все новые
файлы на предмет нелегальных материалов или для генерации превьюшек, или
для поискового индекса, или еще для каких-то целей. Остается надеяться,
что сотрудники компании не будут злоупотреблять возможностью чтения
чужих документов и не предоставят эту возможность посторонним лицам.
|