Dropboxovu sigurnosnu rupu iskoristio je samo 1 korisnik za otvaranje 100 profila

Dropboxovu sigurnosnu rupu iskoristio je samo 1 korisnik za otvaranje 100 profila

Dropbox, sustav za organizaciju i čuvanje podataka na Internetu, je prema najavi na blogu poslao upozorenje oko stotini korisnika čiji su Dropbox podaci otvoreni zahvaljujući bugu koji je omogućavao pristup uz e-mail, ali bez lozinke. Navedeni bug je bilo moguće iskoristiti samo oko 4 sata i prema upozorenju samo ga je jedan jedini korisnik iskoristio kako bi otvorio profile drugih korisnika.

Dropboxovu sigurnosnu rupu iskoristio je jedan, jedini korisnik.

Dropbox, sustav za organizaciju i čuvanje podataka na Internetu, je prema najavi na blogu poslao upozorenje oko stotini korisnika čiji su Dropbox podaci otvoreni zahvaljujući bugu koji je omogućavao pristup uz e-mail, ali bez lozinke. Navedeni bug je bilo moguće iskoristiti samo oko 4 sata i prema upozorenju samo ga je jedan jedini korisnik iskoristio kako bi otvorio profile drugih korisnika. Što je točno Dropboxov direktor Drew Houston napisao korisnicima možete pročitati u e-mailu koji je nabavio Techcrunch:

Subject: Important Dropbox Security Notice – Please Read

xxxx,

Earlier this week, we wrote to tell you about a security lapse at Dropbox. Today I am writing to tell you something I never expected to tell a customer. During our forensic analysis, we discovered that an extremely small number of accounts, including yours, were subject to some suspicious activity.

Our investigation revealed that at around xx:xx on x/xx/xxxx someone logged into your account. It is likely that your account was compromised by a third party. According to our records, neither your account settings nor files were modified. Information such as file and folder names would have been viewable, but our records do not indicate that any files were viewed or downloaded. Nevertheless, as a precaution we recommend that you take the following steps:

* If you had sensitive, personal, or financial information in your Dropbox or in the names of the files in your Dropbox account (for example, credit card numbers, bank account information, social security numbers) you should monitor your credit for any suspicious activity. You can learn more about identity theft at the FTC’s Identity Theft Site http://www.ftc.gov/bcp/edu/microsites/idtheft/ .

* We have made arrangements for you to have free access to a credit monitoring service. Please email us at support@dropbox.com if you would like to use this program. You may also want to consider canceling any credit cards whose information was located in the folders listed above.

* If you stored passwords in your Dropbox, please make sure to change those passwords as soon as possible.

* Again, we urge you to review your account for any unauthorized activity and inform us immediately about your concerns.

As we mentioned earlier, the security lapse occurred during a code update that introduced a bug affecting our authentication mechanism. We will continue our investigations, but as best as we can tell right now, a single individual took advantage of the lapse to access fewer than a hundred accounts. Our team has been working around the clock to understand what happened and to make sure that it never happens again.

I cannot express how deeply sorry I am. Dropbox is my life, and I know that we are only as good as the trust we have built with our customers. This should not have happened, and I am hopeful that you will give us the chance to make this right and regain your trust.

I am here and ready to answer your questions and do whatever I can to help. Please do not hesitate to call me at +x-xxx-xxx-xxxx. Or if you’d like me to call you just reply with your phone number and I’ll give you a call.

Drew


Drew Houston
CEO, Dropbox

Mislite li da su Dropboxovci primjereno reagirali?

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Davor

    Davor

    25. 06. 2011. u 9:34 pm Odgovori

    Jedan korisnik i sto korisničkih računa previše. Na žalost neću više koristiti Dropbox dok ne osiguraju veću razinu sigurnosti i sve dok će im se događati ovakve bedastoće. Probao sam alternativne usluge poput SugarSynca i Box.net (koji zapravo ima najviše mogućnosti, ali je zato cijena previsoka) i Dropbox mi za sada najviše odgovara. Šteta što su izgubili korisnike na ovakvim glupostima 🙁

  2. Nikola Krajačić

    Nikola Krajačić

    25. 06. 2011. u 11:17 pm Odgovori

    Mislim da šteta ipak nije toliko velika i da se povlači ista stvar kao i kad je otkriveno da iPhone (pa i Android) bilježi GSM stanice.
    Tko ima povjerljive podatke, trebao bi znati dovoljno da ih treba kriptirati i kad ih seli na USB, a kamoli na neki cloud servis. Isto kao što ne bi trebao koristiti smartphone (ili mobitel uopće) ako ne želi da bude “praćen”. U suportnom je korisnik jednostavno naivan, da ne kažem glup, kada txt file sa svojim passwordima seli na dropbox ili ga čuva u Gmailu ili slično. Ajde bar u pass protected arhivu da stavi…

    Mislim da neće dropbox izgubiti masu korisnika, možda nekoliko njih koji od ovoga rade nepotrebne probleme, a nisu sposobni sami se pobrinuti za te “povjerljive” stvari koje imaju, pa je sada kao problem u dropboxu. Danas sutra će se isto dogoditi i s ostalim cloudovima, Amazonov je već jednom pao, Gmail svako toliko, padat će i iCloud…
    Nekako mi zapravo i paradoksalno zvuči da se netko kune u sigurnost nekog trećeg servisa i slobodno mu daje datoteke s tko zna kakvim podacima. Otvorene datoteke!

    Ako imaš stvarno povjerljive podatke, enkriptiraj ih, pa ih onda šalji u cloud. U suprotnom, nisu ti toliko bitni niti povjerljivi i trebao si bolje poznavati sve rizike cloud sustava kad si se signupao za njega, kaže stara kineska poslovica 😉

    Also, isprika CEO-a je na mjestu, a još više bi na mjestu bilo nešto više free prostora korisnicima, tek toliko, reda radi 🙂 Mojih 50 GB me za sada služi 😉

    PS – ne zaboravimo da je Dropbox besplatan. Znači, imati osjetljive podatke spremljene na besplatnom cloudu… a onda se žaliti kada se otkrije rupa… jao jao, nešto ne valja 🙂

    • Davor

      Davor

      26. 06. 2011. u 10:49 am Odgovori

      Ne slažem se da Dropbox ne bi trebao biti dovoljno siguran da ga možeš koristiti za, ne bih rekao povjerljive, već osobne stvari. Dogodio im se nevjerojatan sigurnosni propust, što zajedno s činjenicom da oni čuvaju dekripcijske ključeve znatno povećava sigurnosni rizik.

      Dropbox nisam prestao koristiti jer imam ne znam koliko povjerljive podatke koji nisu za cloud, već nemam dovoljno povjerenja u tvrtku koja je napravila dvije vrlo upitne stvari u zadnjih nekoliko mjeseci.

      Naravno da postoje određeni rizici u korištenju cloud usluga i toga sam svjestan. Međutim, kad se Dropbox na početnoj stranici hvali koliko je sigurna usluga, a onda se dogodi da bilo tko s korisničkim imenom može doći do podataka – onda nešto ne štima.

      Ne stoji da besplatna usluga treba biti na bilo koji način manje sigurna, pouzdana i dostupna od plaćene.

      • Nikola Krajačić

        Nikola Krajačić

        26. 06. 2011. u 11:59 am Odgovori

        My point is – pomozi si sam pa će ti i bog pomoć 😀
        Ili na našem jeziku – kriptiraj si podatke sam pa nećeš imati problema. Ne možeš reći da si svjestan rizika i onda se čuditi kad se prijetnja ostvari. Ako si svjestan rizika, kriptiraj. Odnosno, ako si svjestan rizika, onda valjda poduzimaš neke mjere kako bi se pripremio za taj rizik, ne? Po tvom komentaru zaključujem da bi svatko mogao napraviti free file sharing servis i ti bi bez problema uploadao podatke?

        • Davor

          Davor

          26. 06. 2011. u 12:20 pm Odgovori

          Mislim da si ovdje u potpunosti u krivu – što da se radi o nekoj drugoj vrsti usluge, a ne o cloud storage sustavu? Jel’ bi ti onda bilo svejedno što postoji sigurnosti propust koji omogućava nekome da se prijavi u sustav samo koristeći korisničko ime?

          Dodatno, Dropbox tvrdi da su sigurni, navodeći pri tome enkripciju u prijenosu i skladištenju podataka. Naravno, ja sam kriv što sam vjerovao tim navodima, a oni su krivi za lažno oglašavanje. Pri tome navode visoki stupanj sigurnosti koji pruža Amazonom S3 (http://www.dropbox.com/terms#security), a onda oni puste svakoga u sustav bez lozinke 🙁

          Nadam se da će netko u SAD poduzeti pravne korake protiv Dropboxa, jer ovo što su oni napravili je čisti nemar, a ne hakerski napad ili nešto slično.

          • Nikola Krajačić

            Nikola Krajačić

            26. 06. 2011. u 12:29 pm

            Pa sa svim uslugama je tako, ne ograničavam se ovdje na dropbox. Ideš u restoran i prepeku ti odrezak, ali to je rizik kojeg prihvaćaš. U suprotnom, ostaneš doma i sam si roštiljaš 🙂
            Pravnih koraka sumnjam da će biti, upravo zbog toga što vjerojatno niti nema “žrtava”

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

eUsluge

Grad Zagreb omogućio potpun uvid u proračun kroz aplikaciju iTransparentnost

Nova aplikacija omogućuje svakom građaninu da detaljno prouči gradski porarčun po različitim parametrima.

Startupi

Što je to R&D potencijal – i kakve veze ima s razvojem startupa?

Je li startup nacija u kojoj su nastali tech giganti kao Skype, Wise, Bolt i Pipedrive to postala slučajno, otkrijte sa mnom na putu u Estoniju.

Nesortirano

Što je Akt o čipovima – i kako će doprinjeti tehnološkom razvitku Hrvatske

Jačanje konkurentnosti Europske unije u industriji poluvodiča prilika je i za Hrvatsku koja u sklopu 43 milijarde eura vrijedne incijative priprema otvaranje edukacijskih centara.

Što ste propustili

Panel

Hrvatski game developeri o stvaranju “ozbiljnih” videoigara

S predstavnicima game dev studija, ali i drugih privatnih tvrtki i dobrotvornih organizacija, raspravljamo o razvoju videoigara kojima svrha nije samo zabava, već i edukacija.

Startupi

Ivan Mrvoš: “Include više nije samo ‘onaj mali s pametnim klupama'”

Include, solinski startup poznat po pametnim klupama Steora, okrenuo se razvoju i proizvodnji novih proizvoda. Mrvoš, koji još nema ni 30 godina, a već je iskusni poduzetnik s respektabilnom karijerom, za Netokraciju je ispričao kako se i koliko ta tvrtka promijenila. Nedavno smo mogli pročitati da bi mogli promijeniti i vlasnika...

Esport

Peta sezona SET-a zaključena u Infobipu: Od 22 fakulteta pobjednički je varaždinski FOI

Student Esports Tournament, jedan od najpoznatijih studentskih esport događaja u Hrvatskoj, petu sezonu završio je u spektakularnoj LAN završnici koja se održala u prostorima Infobipa u Zagrebu.

Novost

Goran Bosankić u Field39 stiže na poziciju Chief Revenue Officera

Nakon više od 6 godina u Assecu SEE, a potom isto toliko u ABC Tech grupi, Goran Bosankić dolazi u Field39 kao Chief Revenue Officer i član Upravnog odbora.

Digitalni marketing

Super Bowl fenomen iliti “Vrijeme je da se vratite pred TV. Počinju reklame.”

Dok sam bio u Americi netom prije Super Bowla jedno mi je postalo jasno. Američki nogomet tamo je religija, a SuperBowl kao Božić. Samo što se za ovaj Božić svi okupe oko TV-a gledati reklame!

Novost

Teo Širola iz Muzeja iluzija proglašen najboljim mladim menadžerom 2023. godine

Hrvatsko udruženje menadžera i poduzetnika (HUM) CROMA dodijelilo je predsjedniku tvrtke Metamorfoza, koja upravlja globalnom mrežom Muzeja iluzija, nagradu za mladog menadžera 2023. godine.