Mellékleteink: HUP | Gamekapocs
Keres
Ősszel is lesz HWSW free! Alkalmazott AI meetup és agilis fejlesztői meetup a módszertanok dzsungeléből, szeptember 24-25-én.

Saját magát hackelte meg a Dropbox

Dojcsák Dániel, 2011. június 21. 12:19
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A webes tárhely szolgáltató cég, a Dropbox tegnap beismerte, hogy egy programozói hiba következtében egy ideiglenes biztonsági rés keletkezett a rendszerben, amivel bármilyen jelszóval be lehetett lépni bármelyik fiókba.

A Dropbox egy online, felhőalapú tárhelyszolgáltatás, ami PC-k, okostelefonok és egyéb támogatott eszközök között képes fájlokat szinkronizálni, azonnal elérhetővé tenni azokat bármely eszközön. Emellett fájlmegosztásra, fájlküldésre is alkalmas.

Az elmúlt időszakban már volt egy kellemetlen ügye a cégnek, amikor is a felhasználási feltételek változtatásakor bekerült az elvi lehetősége annak, hogy a Dropbox dolgozók hozzáférhetnek a felhasználók fájljaihoz. Korábban a Dropbox éppen azzal reklámozta önmagát, hogy szerverein biztonságban vannak az adatok, amihez illetéktelenek soha nem férhetnek hozzá. A szövegezés egy apró változtatásával viszont a korábbi “nem képes hozzáférni” kifejezés, “nincs engedélye ahhoz, hogy hozzáférjen”-re változott. A bizalomvesztés feltételezhetően eltántorított néhány felhasználót, akik az érzékeny adataikat a szolgáltatásra bízták.

A mostani incidens ennél jóval komolyabb presztízsveszteség, ugyanis az amerikai cég szolgáltatásában, egy kódfrissítés után egy ijesztő hiba jelentkezett. A probléma az azonosítási mechanizmust érintette, aminek következtében tegnap nyugati parti idő szerint délután 13:54 és este 5:46 között bármely felhasználói fiókhoz hozzá lehetett férni anélkül, hogy annak a jelszavát ismerte volna a próbálkozó. A rendszer bármilyen karakterláncot elfogadott helyes jelszóként, s beengedte az illetéktelen belépőket is.

Ennek soha sem lett volna szabad megtörténnie!

“Ennek soha sem lett volna szabad megtörténnie” - mondta a Dropbox társalapítója és műszaki vezetője, Arash Ferdowsi. És teljesen igaza van, ugyanis ezzel a szolgáltatás teljes mértékben kompromitálta felhasználóit. A tegnap szemfüles felhasználók tucatnyi, vagy akár több száz fiókon végigmenve garázdálkodhattak a közel négyórás időablakban. Ennyi idő alatt ellenségeik, konkurenseik, barátaik, ismerőseik teljes fiókjait lementhették volna. Arról egyelőre nincs információ, hogy pontosan hány felhasználót érintett negatívan, mennyi embernek léptek be valóban a fiókjába.

A Dropbox persze szabadkozik és ígéretet tett arra, hogy további biztonsági intézkedéseket vezetnek be, a legjobb elérhető eszközöket és fejlesztői praktikákat fogják használni ahhoz, hogy a szoftver tovább épüljön. A cél, hogy a felhasználók megnyugodhassanak, hogy adataik biztonságban vannak, ami elég nehéz ügy lesz, azután, hogy a Dropboxot nem feltörték külső támadók, hanem saját hibájukból, egy belső frissítés okán hagyták tárva nyitva az egyébként jól őrzött kapukat.

A cég állítása szerint 25 millió felhasználójuk van az ingyenes verzióban, a fizetős csomagot használók számáról azonban nem hoztak nyilvánosságra adatokat, de ekkora létszám mellett biztosan történtek nagyon kellemetlen esetek. A 2008-ban 7,2 millió dolláros befektetéshez jutó Dropbox szénája rosszul áll, hiszen a két biztonsági botrány mellett számolniuk kell azzal is, hogy az egyik legerősebb piacukon, az Egyesült Államokban hamarosan az Apple iOS5-tel megjelenő iClouddal is szemben találják magukat.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Alkalmazott AI meetup és agilis fejlesztői meetup a módszertanok dzsungeléből, szeptember 24-25-én.