» »

Dropbox preiskuje potencialno krajo e-poštnih naslovov

Dropbox preiskuje potencialno krajo e-poštnih naslovov

The Verge - Dva dni nazaj so Dropboxovi evropski uporabniki utrpeli krajši 20-minutni izpad storitve, kmalu po tem pa so na uporabniškem forumu začele deževati pritožbe o nenadnem navalu spama, predvsem od evropskih ponudnikov internetnih igralnic in športnih stavnic. Med pritožniki je veliko uporabnikov, ki pravijo, da za Dropbox uporabljajo poseben, unikaten e-poštni naslov (npr. yahoo! mail alias), ki edini prijema spam in ki ni nikjer drugje v uporabi, namigujoč, da se je nekaj resnega moralo zgoditi prav pri Dropboxu. Resnega v smislu kraje baze uporabniških podatkov.

Upravitelji strani so se, po lanskem valu nenehnih težav (glej spodaj) odzvali še kar hitro. Za začetek pravijo, da je torkov izpad storitve slučajen (nesrečno naključje), tj. zagotovo nepovezan z zunanjimi napadi. Glede spama pa še ne vejo, vendar prijave jemljejo z vso resnostjo. Njihova interna ekipa natančno pregleduje vse sisteme in dnevniške zapise, na pomoč pa so poklicali tudi zunanje svetovalce. Več podatkov naj bi imeli v prihodnjih dnevih, obenem pa uporabnike, ki imajo kaj več informacij, prosijo za prijavo na security@dropbox.com.

Kot rečeno, ima Dropbox še vedno precej resne težave s pozicioniranjem samega sebe kot varno in zanesljivo storitev za spletno hrambo in izmenjavo datotek. Aprila lani jih je vidno prizadela novica, da hranijo prijavne podatke v nešifrirani obliki v lokalni datoteki config.db, kar je dalo vsakomur z dostopom do računalnika tudi dostop do Dropboxa. Še bolj "zoprn" je bil njihov odziv - uporabnikom so zatežili, da so "sami odgovorni za zavarovanje svojega računalnika", ter jim v isti sapi "priporočili šifriranje tam shranjenih datotek". Konkurenca, npr. SpiderOak, je hitro izpostavila, da je pri njih za vse to že poskrbljeno, celo tako, da upravitelji nikoli ne vidijo nešifrirane vsebine datotek, ali dešifrirnih ključev (medtem ko Dropbox mirno sodeluje z FBI). Še isti mesec se je potem izkazalo, da je mogoče Dropbox uporabiti za p2p distribucijo datotek. Dropbox namreč za vsako naloženo datoteko kojci izračuna njeno zgoščeno vrednost (hash), zato da lahko na svojih strežnikih hrani le eno kopijo (de-duping), nato pa predvideva, da datoteka pripada vsakomur, ki ima to vrednost zapisano v svoji - že omenjenem - config.db bazi. Poljski heker je to izkoristil tako, da je spisal kratko python skripto, ki je v config.db vnesla poljuben heš in s tem dosegla takojšen prenos manjkajoče datoteke iz dropboxovega omrežja - imitirajoč torrente. Odziv Dropboxovcev je bil spet osoren - zoper skripto so na githubu podali DMCA takedown request (čeravno niso bili avtorji!), nato pa jo še enostransko pobrisali iz imenikov vseh uporabnikov, ki jo so imeli tudi tam. Kasneje so se za oboje opravičili v smislu, da je prišlo "do interne pomote". K sreči so se potem malo streznili. K temu je najbrž prispevala tudi pritožba pred njihovim regulatorjem trga, ki jo je zaradi zavajanja glede varnosti servisa podal eden od njihovih uporabnikov, potem pa še junijski spodrsljaj, ko so začasno dovolili prijavo v katerikoli račun brez poznavanja gesla. Konec poletja so stvari tako tekle že boljše. Hekerji so sicer našli še tri dodatne varnostne pomankljivosti, spet povezane s preslabo zavarovano datoteko config.db, vendar so tokrat podjetju dali čas za odpravo napak in si potem izgovorili skupno najavo (white hat pristop). To je precej popravilo imidž podjetja. Upamo lahko, da bo tako tudi letos, kajti težave so se vsekakor že začele - najprej v obliki izpad storitev zaradi tehničnih težav njihovega gostitelja Amazon EC2, zdaj pa še s temi emaili.

5 komentarjev

Jst ::

Kaj se dogaja na internetu. Vsako jutro na sprehodu s psom poslušam Tech News Today (twit.tv), in skoraj vsak teden slišim, da se je nekemu podjetju oziroma njihovi storitvi, kaj pripetilo. Objavljeni imeniki/emaili, gesla, osebni podatki, številke bančnih kartic,... Poleg "patent wars" sedaj še te nevšečnosti!

Glede Dropboxa: imam ga sicer inštaliranega, ampak ga uporabljam samo za Upload slik iz telefona, ter kdaj pride prav.

Za online (Cloud) backup pa že skoraj delam reklamo tukaj: Carbonite dot com.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

z00s ::

Skoraj vsak teden;) Js bi reku, skoraj vsako sekundo...

Uzivaj na sprehodih pa pozdravi psa;)

lp,Z00s

ps: Nič, pes je od glave do nog poštenjak;)

enota13 ::

Jst je izjavil:

Vsako jutro na sprehodu s psom poslušam...

Za online (Cloud) backup pa že skoraj delam reklamo tukaj: Carbonite dot com.

A to si torej ti, zato delaš reklamo?
— Steven Michael Duno, Author
Last Dog on the Hill

Golden eye ::

Jst je izjavil:

Kaj se dogaja na internetu. Vsako jutro na sprehodu s psom poslušam Tech News Today (twit.tv), in skoraj vsak teden slišim, da se je nekemu podjetju oziroma njihovi storitvi, kaj pripetilo. Objavljeni imeniki/emaili, gesla, osebni podatki, številke bančnih kartic,... Poleg "patent wars" sedaj še te nevšečnosti!

Glede Dropboxa: imam ga sicer inštaliranega, ampak ga uporabljam samo za Upload slik iz telefona, ter kdaj pride prav.

Za online (Cloud) backup pa že skoraj delam reklamo tukaj: Carbonite dot com.


Tale mi je bolši, več ponuja za denar: http://www.crashplan.com/

Jst ::

Na prenosniku, kjer služim kruh, laufam Carbonite že drugo leto in sem po prvem letu za nadaljevanje dobil pošten popust...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox bo v brezplačni verziji podpiral le tri naprave (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
7812018 (7441) SaXsIm
»

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Oddelek: Novice / Zasebnost
146274 (4247) Ashrack
»

Odkrita resna ranljivost v Dropboxu (strani: 1 2 )

Oddelek: Novice / Varnost
6025878 (21297) ginekolog
»

Odkrita resna ranljivost v Dropboxu, 2. del

Oddelek: Novice / Varnost
94630 (3400) MrStein

Več podobnih tem