Dropboxovu sigurnosnu rupu iskoristio je samo 1 korisnik za otvaranje 100 profila
Ivan Brezak Brkan
25. 06. 2011.
Dropbox, sustav za organizaciju i čuvanje podataka na Internetu, je prema najavi na blogu poslao upozorenje oko stotini korisnika čiji su Dropbox podaci otvoreni zahvaljujući bugu koji je omogućavao pristup uz e-mail, ali bez lozinke. Navedeni bug je bilo moguće iskoristiti samo oko 4 sata i prema upozorenju samo ga je jedan jedini korisnik iskoristio kako bi otvorio profile drugih korisnika.
Dropbox, sustav za organizaciju i čuvanje podataka na Internetu, je prema najavi na blogu poslao upozorenje oko stotini korisnika čiji su Dropbox podaci otvoreni zahvaljujući bugu koji je omogućavao pristup uz e-mail, ali bez lozinke. Navedeni bug je bilo moguće iskoristiti samo oko 4 sata i prema upozorenju samo ga je jedan jedini korisnik iskoristio kako bi otvorio profile drugih korisnika. Što je točno Dropboxov direktor Drew Houston napisao korisnicima možete pročitati u e-mailu koji je nabavio Techcrunch:
Subject: Important Dropbox Security Notice – Please Read
xxxx,
Earlier this week, we wrote to tell you about a security lapse at Dropbox. Today I am writing to tell you something I never expected to tell a customer. During our forensic analysis, we discovered that an extremely small number of accounts, including yours, were subject to some suspicious activity.
Our investigation revealed that at around xx:xx on x/xx/xxxx someone logged into your account. It is likely that your account was compromised by a third party. According to our records, neither your account settings nor files were modified. Information such as file and folder names would have been viewable, but our records do not indicate that any files were viewed or downloaded. Nevertheless, as a precaution we recommend that you take the following steps:
* If you had sensitive, personal, or financial information in your Dropbox or in the names of the files in your Dropbox account (for example, credit card numbers, bank account information, social security numbers) you should monitor your credit for any suspicious activity. You can learn more about identity theft at the FTC’s Identity Theft Site http://www.ftc.gov/bcp/edu/microsites/idtheft/ .
* We have made arrangements for you to have free access to a credit monitoring service. Please email us at support@dropbox.com if you would like to use this program. You may also want to consider canceling any credit cards whose information was located in the folders listed above.
* If you stored passwords in your Dropbox, please make sure to change those passwords as soon as possible.
* Again, we urge you to review your account for any unauthorized activity and inform us immediately about your concerns.
As we mentioned earlier, the security lapse occurred during a code update that introduced a bug affecting our authentication mechanism. We will continue our investigations, but as best as we can tell right now, a single individual took advantage of the lapse to access fewer than a hundred accounts. Our team has been working around the clock to understand what happened and to make sure that it never happens again.
I cannot express how deeply sorry I am. Dropbox is my life, and I know that we are only as good as the trust we have built with our customers. This should not have happened, and I am hopeful that you will give us the chance to make this right and regain your trust.
I am here and ready to answer your questions and do whatever I can to help. Please do not hesitate to call me at +x-xxx-xxx-xxxx. Or if you’d like me to call you just reply with your phone number and I’ll give you a call.
Drew
–
Drew Houston
CEO, Dropbox
Mislite li da su Dropboxovci primjereno reagirali?
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.
Pravila ponašanja
Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:
Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.
Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.
Komentari
Davor
25. 06. 2011. u 9:34 pm
Jedan korisnik i sto korisničkih računa previše. Na žalost neću više koristiti Dropbox dok ne osiguraju veću razinu sigurnosti i sve dok će im se događati ovakve bedastoće. Probao sam alternativne usluge poput SugarSynca i Box.net (koji zapravo ima najviše mogućnosti, ali je zato cijena previsoka) i Dropbox mi za sada najviše odgovara. Šteta što su izgubili korisnike na ovakvim glupostima 🙁
Nikola Krajačić
25. 06. 2011. u 11:17 pm
Mislim da šteta ipak nije toliko velika i da se povlači ista stvar kao i kad je otkriveno da iPhone (pa i Android) bilježi GSM stanice.
Tko ima povjerljive podatke, trebao bi znati dovoljno da ih treba kriptirati i kad ih seli na USB, a kamoli na neki cloud servis. Isto kao što ne bi trebao koristiti smartphone (ili mobitel uopće) ako ne želi da bude “praćen”. U suportnom je korisnik jednostavno naivan, da ne kažem glup, kada txt file sa svojim passwordima seli na dropbox ili ga čuva u Gmailu ili slično. Ajde bar u pass protected arhivu da stavi…
Mislim da neće dropbox izgubiti masu korisnika, možda nekoliko njih koji od ovoga rade nepotrebne probleme, a nisu sposobni sami se pobrinuti za te “povjerljive” stvari koje imaju, pa je sada kao problem u dropboxu. Danas sutra će se isto dogoditi i s ostalim cloudovima, Amazonov je već jednom pao, Gmail svako toliko, padat će i iCloud…
Nekako mi zapravo i paradoksalno zvuči da se netko kune u sigurnost nekog trećeg servisa i slobodno mu daje datoteke s tko zna kakvim podacima. Otvorene datoteke!
Ako imaš stvarno povjerljive podatke, enkriptiraj ih, pa ih onda šalji u cloud. U suprotnom, nisu ti toliko bitni niti povjerljivi i trebao si bolje poznavati sve rizike cloud sustava kad si se signupao za njega, kaže stara kineska poslovica 😉
Also, isprika CEO-a je na mjestu, a još više bi na mjestu bilo nešto više free prostora korisnicima, tek toliko, reda radi 🙂 Mojih 50 GB me za sada služi 😉
PS – ne zaboravimo da je Dropbox besplatan. Znači, imati osjetljive podatke spremljene na besplatnom cloudu… a onda se žaliti kada se otkrije rupa… jao jao, nešto ne valja 🙂
Davor
26. 06. 2011. u 10:49 am
Ne slažem se da Dropbox ne bi trebao biti dovoljno siguran da ga možeš koristiti za, ne bih rekao povjerljive, već osobne stvari. Dogodio im se nevjerojatan sigurnosni propust, što zajedno s činjenicom da oni čuvaju dekripcijske ključeve znatno povećava sigurnosni rizik.
Dropbox nisam prestao koristiti jer imam ne znam koliko povjerljive podatke koji nisu za cloud, već nemam dovoljno povjerenja u tvrtku koja je napravila dvije vrlo upitne stvari u zadnjih nekoliko mjeseci.
Naravno da postoje određeni rizici u korištenju cloud usluga i toga sam svjestan. Međutim, kad se Dropbox na početnoj stranici hvali koliko je sigurna usluga, a onda se dogodi da bilo tko s korisničkim imenom može doći do podataka – onda nešto ne štima.
Ne stoji da besplatna usluga treba biti na bilo koji način manje sigurna, pouzdana i dostupna od plaćene.
Nikola Krajačić
26. 06. 2011. u 11:59 am
My point is – pomozi si sam pa će ti i bog pomoć 😀
Ili na našem jeziku – kriptiraj si podatke sam pa nećeš imati problema. Ne možeš reći da si svjestan rizika i onda se čuditi kad se prijetnja ostvari. Ako si svjestan rizika, kriptiraj. Odnosno, ako si svjestan rizika, onda valjda poduzimaš neke mjere kako bi se pripremio za taj rizik, ne? Po tvom komentaru zaključujem da bi svatko mogao napraviti free file sharing servis i ti bi bez problema uploadao podatke?
Davor
26. 06. 2011. u 12:20 pm
Mislim da si ovdje u potpunosti u krivu – što da se radi o nekoj drugoj vrsti usluge, a ne o cloud storage sustavu? Jel’ bi ti onda bilo svejedno što postoji sigurnosti propust koji omogućava nekome da se prijavi u sustav samo koristeći korisničko ime?
Dodatno, Dropbox tvrdi da su sigurni, navodeći pri tome enkripciju u prijenosu i skladištenju podataka. Naravno, ja sam kriv što sam vjerovao tim navodima, a oni su krivi za lažno oglašavanje. Pri tome navode visoki stupanj sigurnosti koji pruža Amazonom S3 (http://www.dropbox.com/terms#security), a onda oni puste svakoga u sustav bez lozinke 🙁
Nadam se da će netko u SAD poduzeti pravne korake protiv Dropboxa, jer ovo što su oni napravili je čisti nemar, a ne hakerski napad ili nešto slično.
Nikola Krajačić
26. 06. 2011. u 12:29 pm
Pa sa svim uslugama je tako, ne ograničavam se ovdje na dropbox. Ideš u restoran i prepeku ti odrezak, ali to je rizik kojeg prihvaćaš. U suprotnom, ostaneš doma i sam si roštiljaš 🙂
Pravnih koraka sumnjam da će biti, upravo zbog toga što vjerojatno niti nema “žrtava”