» »

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Slo-Tech - Dva tedna nazaj smo pisali o potencialni kraji baze e-poštnih naslovov nekaterih, predvsem evropskih Dropbox uporabnikov, ki so potem na svoje račune nenadoma začeli dobivati spam. Incident bi najbrž šel mimo neopažen, če med prizadetimi uporabniki ne bi bilo številnih, ki so za Dropbox uporabljali specifični email naslov oz. alias, tako da takšen naslov v roke spammerjev ni mogel priti drugače kot z vpletanjem omenjenega ponudnika. No, Dropbox je obljubil, da bo raziskal, in zgleda so. Njihov odgovor ponuja zanimivo lekcijo iz varnosti gesel ter diskovja na spletu.

Kot pišejo na svojem blogu, se je vse skupaj začelo s krajo uporabniških podatkov na neki tretji strani (ne piše kateri), nakar so tamkajšnji napadalci preizkusili dobljene e-poštne naslove in gesla še na drugih spletnih straneh, najbrž GMailu in Facebooku, a tudi Dropboxu. Pri tem se jim je zasvetila zvezda sreča, saj je eden od ukradenih naslovov pripadal zaposlenemu pri Dropboxu, tako da so napadalci dobili dostop do njegovega računa. Tu pa se začne drugi del napada. Med pregledovanjem računa (ročno očitno) so napadalci našli še zajetno bazo e-poštnih računov od uporabnikov Dropboxa, ki jih je zaposleni (najbrž v nasprotju z zakonom in internimi pravili za ravnanje z osebnimi podatki) hranil kar v svojem dropbox imeniku, v nešifrirani obliki. To bazo so potem bržkone preprodali naprej nekomu, ki je potem poskrbel za dostavo spama. Kaj so storili z ostalim nagrabljenim plenom (očitno so se trudili), se seveda ne ve.

Dropbox je na svoji strani obljubil uvedbo opcijske dvofaktorske avtentikacije (geslo + npr. pin preko sms-a) za uporabnike, oziroma obvezne za zaposlene, ter pripravo posebne spletne strani, preko katere bo mogoče videti vse nedavne poskuse prijave v sistem. To bi otežilo vdor v sistem v primeru kraje gesla, oziroma olajšalo odkritje in prijavo s strani uporabnikov, če se bo uporabnikom seveda ljubilo pogledati to stran. Nekaj dodatnih hrčkov bodo zaposlili tudi pri Dropboxu, na posodobljenem hevrističnem sistemu za iskanje sumljivega vedenja (sočasne prijave z zelo oddaljenih IP naslovov, idr.).

Vse skupaj je, kot rečeno, še en pomemben opomnik uporabnikom, naj ne uporabljajo istih gesel za vse spletne strani, oziroma ne vsaj za najpomembnejše servise ranga e-pošta, socialno omrežje, varnostna kopija datotek. Istočasno velja priporočiti, da občutljivih datotek ne velja shranjevati na splet v nešifrirani obliki. Pri Dropboxu morate za to poskrbeti sami, seveda pa obstajajo tudi servisi, ki za to poskrbijo sami.

Obenem je Dropboxov lapsus tudi pomenljivo opozorilo regulatorjem, da bo treba na politikah ravnanja z osebnimi podatki še veliko delati. To je nasploh vroče področje v EU, sploh zdaj, ko regulatorji počasi in z večletnim zaostankom ugotavljajo, da se podatke hrani "v oblaku", to je tam, kjer je najceneje in najbolj priročno, se pravi često v tujini. EU je pri tem v dilemi, kako urediti izvoz osebnih podatkov o Evropejcih, zlasti v ZDA (na Amazonov cloud). V danem trenutku velja dogovor med Evropsko komisijo in ameriškim ministrstvom za gospodarstvo , da se to sme, če se ameriška stran "proglasi za samocertificirano" in s tem zagotovi "ti. varni pristan spoštovanja isto striktnih pravil varovanja osebnih podatkov, kot veljajo v EU". Samocertifikacija je džabe in sestoji iz enega samega obrazca z minimalnimi podatki. Dropbox seveda je certificiran, vendar to več kot očitno (glej zgoraj) še ne pomeni, da zagotavljajo varstvo osebnih podatkov v skladu z Direktivo EU o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov in relevantnimi novelami (mimogrede, z implementacijo slednje že tako zelo zamujamo, tako da bomo kmalu začeli plačevati znatno kazen). V praksi morajo biti podjetja zelo jasna glede tega, katere podatke zbirajo in zakaj, za to pridobiti soglasje in potem to soglasje tudi spoštovati. Da bi se to zgodilo, pa sta nujna rigorozni nadzor in seveda tudi kakšna kazen. A to pomeni dodatna pravila in regulacijo, kar na parketu ameriškega Kongresa trenutno pomeni predvsem "dušenje ljudi, ki ustvarjajo službe". Zanimivo vprašanje je, zakaj je bila EU pripravljena sprejeti takšen enostranski kompromis (ki ga, mimogrede, posledično v svojih nedavnih smernicah priporoča tudi naš Informacijski pooblaščenec), oziroma bolje vprašano, ali pri tem niso imeli prstov zraven lobisti ponudnikov in uporabnikov oblačnih storitev (se ve). No, po drugi strani pa je tudi res, da niso vsi tako zaupljivi. Dva ugledna evropska pravnika sta ravno sinoči objavila javno pismo, v katerem izražata skrb, da bodo ameriški ponudniki oblačnega gostovanja vse gostovane podatke brez zadržkov izročili ameriškim pravosodnim organom, pod pretvezo zavoljo boja proti terorizmu, kiberkriminalu ali čemu podobnemu. Istočasno ti. Working Party, tj. delovna skupina vseh 27 nacionalnih informacijskih pooblaščencev držav članic unije, v čisto svežem 29-strankem priporočilu evropskih podjetjem svetuje, naj se s svojim pogodbenikom v ZDA zelo jasno domenijo glede konkretnih obveznosti pri varovanju osebnih podatkov, in to tudi zapišejo v pogodbo (k sreči prilagajo vzorce).

Samoregulacija namreč v praksi daje zelo slabe rezultate. O tem bi vedel pričati npr. finančni sektor, kmalu pa se mu bo morda pridružil še oglaševalski. Spletno sledenje je trenutno tehnologija številka ena, sploh ob ugotovitvah, da učinkovitost obstoječih oglasov in s tem njihova cena vztrajno padata (od tod tudi nizka rast Facebookovih prihodkov). Oglaševalci bi zato radi o uporabnikih vedeli vse živo, da bi jim potem lahko priobčili čim bolj klikabilen (beri: vreden) oglas. V igro se misli vmešati celo Intel, ki bi rad v televizije vgradil ves čas vklopljene kamere, ki bi zaznale profil gledalca (oče, mati, hči? vsi od njih?) in temu primerno prilagodil tudi oglase, tako da gospoda več ne bi bremenili z reklamami za čistila in damske vložke, oziroma obratno. To pa seveda (na spletu, če se vrnemo k tem) pomeni, da se ob obisku prenekatere strani s socialnim vključkom (fb, twitter, google analytics, idr.) zbirajo dragoceni podatki o uporabnikovi spletni aktivnosti, pretežno brez njegove izrecne privolitve ali vedenja (in stiskanje tega nekam globoko v pogoje poslovanje ne bi smelo šteti). Američani spet predlagajo samoregulacijo in to v opt-out različici, znano kot Do-not-track header. DNT je, kot smo že pisali, posebna nastavitev v brskalniku, ki, če bo vklopljena, oglaševalcu pove, da si uporabnik ne želi sledenja. Trik je v tem, da bo podatke še vedno lahko zbiral (!), le za sledenje jih ne bo smel uporabiti (?!), seveda pa bo sistem po privzetem izklopljen. Microsoft je za IE 10 načrtoval po privzetem vklopljen header, kar pa se je končalo bolj ko ne žalostno. Delovna skupina za DNT, ki ji predseduje Mozilla, je sklicala izredni sestanek in napol postopkovno pravilno dopolnila pravila z dostavkom, da so tehnične rešitve (= brskalniki), ki imajo DNT po privzetem vklopljen, v neskladju s specifikacijo, zato bo treba njihov header nujno ignorirati. Se pravi, če oglaševalec prejme IE10 DNT: ON header, se mora delati, kot da ga ne bi bilo. IE ekipa je sklonila glave in privolila v to, da bo DNT po privzetem izklopljen.

Malo za šalo, malo zares: nismo si mislili, da bomo kdaj dočakali čas, da bo Microsoft bolj zavzet za pravice uporabnikov kot Mozilla. No, po drugi strani je MS-jev pohod v oglaševalski svet pomenil odpis 6 milijardne investicije in prvo četrtletno izgubo od 20+ letih, Mozilla pa od Googlovega oglaševalskega cvenka ne samo živi, ampak z njim tudi dela lepe in dobre stvari.

14 komentarjev

zmaugy ::

"Samocertifikacija je džabe"

Za katere žabe gre?

amigo_no1 ::

džabe == zastonj

PaX_MaN ::

A je kje seznam izgubljenih mejl naslovov?

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

HyperKiller ::

Mislim, da Mozilla ravna prav in gledano dolgoročno bolje skrbi za zasebnost, poglejmo nasprotni primer:
1. IE ima privzeto vklopljen DNT.
2. Oglaševalsko s tem bolje varuje zasebnost, zato mu sledijo še vsi ostali.
3. Posledično imajo vsi uporabniki vklopljen DNT (predpostavljam, da bi ga malo uporabnikov izklopilo)
4. Koncept DNT-ja izgubi svoj pomen. Veliki bratje (G, FB, ...) najdejo drugo rešitev.

V svetu zakonodaje, ki želi dobro in tehnologije, ki lahko zakonodajo vedno znova preprosto zaobide, igra Mozilla na karto zaupanja. Mislim, da je to edino kar lahko zavednim uporabnikom (teh je dovolj malo, da Bratom ne bo mar) kratkoročno prinese vsaj malo manj sledenja.
Saj smo do splošno učinkovite rešitve za vse uporabnike - še daleč.
Pri Microsoftu uspešno izrezujejo varnostne luknje.

b3D_950 ::

Ali pa si "zgradiš" svoj "cloud", glede na to, da si lahko omisliš kakšen Atom računalnik z majhno porabo za majhne denarje ali pa VPS. :)
Zdaj ko je mir, jemo samo krompir.

poweroff ::

Mozilla ga lomi zadnje čase. Mislim, da bi se morali vrniti h koreninam.
sudo poweroff

WizmoTo ::

In kako naj bi s tem headerjem prisilili nekoga, da ga upošteva ? Spet hočejo tehnične rešitve za netehnične probleme. Raje naj kaj naredijo, da se znebimo tega zbloatanega in idiotsko zdizajniranega protokola.

RejZoR ::

DNT je čista bedarija. Kot bi roparju samo rkel ti ti barabin in ga pustil, da ropa naprej. Brezveze. Če se nekdo odloči neupoštevat DNT nastavitve mu nihče tega ne brani dokler sam protokol tega ne bo enforcal.
Angry Sheep Blog @ www.rejzor.com

PaX_MaN ::

LOL, bo protokol enforcal...
To bo pa res mel ful velik vpliva, če se bo kdo "odloč[u] neupoštevat DNT"...
(HINT: IE6)

Looooooka ::

HyperKiller...to bodo delali NE glede na to al je privzeto prizgano al ne.
Mozilla tle pac preprosto smrdi in se vec kot ocitno vidi, da ne gledajo na uporabnika ampak svoje finance(GOOGLE) in zato silijo v tak "standard".
Za nas uporabnike bi blo definitivno bolj logicno, da je OPT-IN zelja po tem, da nam sledijo ne pa obratno.
I mean kdo hudica pa pri zdravi pameti po defaultu zeli, da vsi hranijo in gledajo vse kar pocnejo?
Tle ma Microsoft cist prav.Lepo po defaultu prizgat...pa naj pol EU in pristojni organi lepo tolcejo po prstih tiste, ki ta flag ignorirajo.

To kar oni delajo je zame isto kot, da bi bla default akcija v OS-ju in programih "da", ko bi blo vprasanje brisanja datotek in izgube podatkov...oz "ne", ko bi me nekdo vprasal ce si zelim milijon eurov nakazati na racun.

Fucking stupid.

technolog ::

Use dropbox, It'll be fun, they said...

magecu ::

Kam pa je šla navada, da je treba za kakršne koli administratorske stvari dostopat preko vpn.
Bah to pa da je zaposleni imel datoteko z uporabniškimi podatki na svojem drop boxu je pa približno tako butasto kot,da bi jo poslal nekomu preko g-maila. Bah.

revizor ::

Citat avtorja: "Zanimivo vprašanje je, zakaj je bila EU pripravljena sprejeti takšen enostranski kompromis (ki ga, mimogrede, posledično v svojih nedavnih smernicah priporoča tudi naš Informacijski pooblaščenec)..."

kaže na popolnoma napačno razumevanje smernic, ki jih je pripravil IP RS, zato so popolnoma brez osnove tudi namigi, da so "zraven lobisti ponudnikov in uporabnikov oblačnih storitev (se ve)".

IP RS nikakor ne priznava varnega pristana kot edino in zadostno zagotovilo pri obdelavi osebnih podatkov, ki mora biti skladna s predpisi v RS, kar neposredno izhaja iz smernic IP RS, ki jih je citiral avtor, saj so prav zato nastale!

Mnenje 01037/12/EN WP 196 dejansko povzema nekatera stališča iz smernic IP-RS, na kar bi lahko bili upravičeno ponosni.

Ashrack ::

Jaz uporablam WUALA kjer se vsi podatki sifrirajo ze pri meni in se njihov server je evropski.
Ni pogojev da bi sel kaksne zaupne podatke v ameriske cloud based resitve
....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Oddelek: Novice / Zasebnost
146621 (4594) Ashrack
»

IE 10 vendarle z vklopljenim Do-Not-Track

Oddelek: Novice / Zasebnost
369564 (8164) Icematxyz
»

Dropbox preiskuje potencialno krajo e-poštnih naslovov

Oddelek: Novice / Varnost
55779 (5109) Jst
»

Googlu grozi kazen za zaobhajanje varnostnih nastavitev v Safariju

Oddelek: Novice / Zasebnost
53807 (3139) Looooooka

Več podobnih tem