Nem törték fel a Dropboxot, csak egy dolgozó volt óvatlan
Néhány hete a Dropbox-felhasználók egy része kéretlen reklámlevelet kapott, az incidens nyomán felmerült a gyanúja, hogy illetéktelenek hatoltak be az online tárhelyszolgáltatóhoz és személyes adatokat tulajdonítottak el. A Dropbox néhány órával az eset után külső szakértőcsapatot bízott meg a nyomozással, a vizsgálatok szerint nem a szolgáltatás biztonságával volt a probléma.
Nem a szolgáltatást törték fel
Nyilvánosságra hozta a pár héttel ezelőtti incidens nyomán lefolytatott vizsgálat eredményeit a Dropbox. A felhős tárhelyszolgáltató ügyfeleinek egy része július közepén szokatlanul sok spamet kapott a postafiókjába. Ezek olyan fiókok voltak, amelyet kizárólag a Dropbox-regisztrációhoz használtak, vagyis biztossá vált, hogy a Dropboxtól szivárogtak ki a felhasználói email-címek - az érintett felhasználók jobbára európaiak voltak.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A kétségbeesett felhasználók megjelenése után kevesebb mint egy nappal reagált az eseményekre a Dropbox a fórumán és bejelentette, külső biztonsági szakértők segítségével vizsgálja, hogyan kerülhetett illetéktelen kezekbe a felhasználóinak adata. A cég most a hivatalos blogján osztotta meg a vizsgálat eredményeit: a támadók nem a tárhelyszolgáltatás védelmét kerülték meg, nem a Dropboxot törték fel, hanem egy óvatlan alkalmazott fiókjából szereztek meg adatokat.
A vizsgálat szerint a támadók más weboldalakról ellopott felhasználói nevek és jelszavak segítségével léptek be néhány Dropbox-fiókba - egyes felhasználók ugyanazt az azonosítót és jelszót használták több szolgáltatásban, köztük a Dropboxban is. A Dropbox pechjére egyik alkalmazottjának fiókjába is be tudtak így hatolni, ahonnan felhasználói email-címeket tartalmazó projektdokumentumokat loptak a támadók. A Dropbox vizsgálata szerint így kerülhettek ki tőle a címek, amelyekre aztán kéretlen levelek érkeztek. "Nagyon sajnáljuk és további lépéseket teszünk annak érdekében, hogy ez ne fordulhasson elő többet" - áll a hivatalos Dropbox-blogban.
Jön a kétfaktoros azonosítás
A vállalat néhány biztonsági jótanácsot is megoszott a blogbejegyzésben, nem javasolja például több online szolgáltatáshoz az azonos felhasználói név és jelszó használatát, amivel kivédhetők a mostanihoz hasonló támadások. A Dropbox emellett biztonsági intézkedéseket is ígér, a szolgáltató létrehozott egy weboldalt, ahol a felhasználók nyomon követhetik az aktivitásaikat (ki- és bejelentkezések, aktív sessionök), automatizált eszközöket telepített a gyanús tevékenységek kiszűrésére, illetve bevezeti a kötelező jelszócserét azoknál a felhasználóknál, akik már régen nem változtatták meg azt, vagy széles körben használt jelszóval rendelkeznek.
A Dropbox nagy dobása, a kétfaktoros azonosítás bevezetése a következő hetekben várható. A felhős tárhelyszolgáltató egyelőre nem hozott nyilvánosságra részleteket arról, hogyan fogja ezt megoldani, de feltehetően a felhasználóknak belépéskor a jelszavuk mellett egy egyedi azonosítót is meg kell adniuk, amely például SMS-ben érkezik meg a telefonjukra.