Dropbox preiskuje potencialno krajo e-poštnih naslovov
Mandi
19. jul 2012 ob 15:27:36
Dva dni nazaj so Dropboxovi evropski uporabniki utrpeli krajši 20-minutni izpad storitve, kmalu po tem pa so na uporabniškem forumu začele deževati pritožbe o nenadnem navalu spama, predvsem od evropskih ponudnikov internetnih igralnic in športnih stavnic. Med pritožniki je veliko uporabnikov, ki pravijo, da za Dropbox uporabljajo poseben, unikaten e-poštni naslov (npr. yahoo! mail alias), ki edini prijema spam in ki ni nikjer drugje v uporabi, namigujoč, da se je nekaj resnega moralo zgoditi prav pri Dropboxu. Resnega v smislu kraje baze uporabniških podatkov.
Upravitelji strani so se, po lanskem valu nenehnih težav (glej spodaj) odzvali še kar hitro. Za začetek pravijo, da je torkov izpad storitve slučajen (nesrečno naključje), tj. zagotovo nepovezan z zunanjimi napadi. Glede spama pa še ne vejo, vendar prijave jemljejo z vso resnostjo. Njihova interna ekipa natančno pregleduje vse sisteme in dnevniške zapise, na pomoč pa so poklicali tudi zunanje svetovalce. Več podatkov naj bi imeli v prihodnjih dnevih, obenem pa uporabnike, ki imajo kaj več informacij, prosijo za prijavo na security@dropbox.com.
Kot rečeno, ima Dropbox še vedno precej resne težave s pozicioniranjem samega sebe kot varno in zanesljivo storitev za spletno hrambo in izmenjavo datotek. Aprila lani jih je vidno prizadela novica, da hranijo prijavne podatke v nešifrirani obliki v lokalni datoteki config.db, kar je dalo vsakomur z dostopom do računalnika tudi dostop do Dropboxa. Še bolj "zoprn" je bil njihov odziv - uporabnikom so zatežili, da so "sami odgovorni za zavarovanje svojega računalnika", ter jim v isti sapi "priporočili šifriranje tam shranjenih datotek". Konkurenca, npr. SpiderOak, je hitro izpostavila, da je pri njih za vse to že poskrbljeno, celo tako, da upravitelji nikoli ne vidijo nešifrirane vsebine datotek, ali dešifrirnih ključev (medtem ko Dropbox mirno sodeluje z FBI). Še isti mesec se je potem izkazalo, da je mogoče Dropbox uporabiti za p2p distribucijo datotek. Dropbox namreč za vsako naloženo datoteko kojci izračuna njeno zgoščeno vrednost (hash), zato da lahko na svojih strežnikih hrani le eno kopijo (de-duping), nato pa predvideva, da datoteka pripada vsakomur, ki ima to vrednost zapisano v svoji - že omenjenem - config.db bazi. Poljski heker je to izkoristil tako, da je spisal kratko python skripto, ki je v config.db vnesla poljuben heš in s tem dosegla takojšen prenos manjkajoče datoteke iz dropboxovega omrežja - imitirajoč torrente. Odziv Dropboxovcev je bil spet osoren - zoper skripto so na githubu podali DMCA takedown request (čeravno niso bili avtorji!), nato pa jo še enostransko pobrisali iz imenikov vseh uporabnikov, ki jo so imeli tudi tam. Kasneje so se za oboje opravičili v smislu, da je prišlo "do interne pomote". K sreči so se potem malo streznili. K temu je najbrž prispevala tudi pritožba pred njihovim regulatorjem trga, ki jo je zaradi zavajanja glede varnosti servisa podal eden od njihovih uporabnikov, potem pa še junijski spodrsljaj, ko so začasno dovolili prijavo v katerikoli račun brez poznavanja gesla. Konec poletja so stvari tako tekle že boljše. Hekerji so sicer našli še tri dodatne varnostne pomankljivosti, spet povezane s preslabo zavarovano datoteko config.db, vendar so tokrat podjetju dali čas za odpravo napak in si potem izgovorili skupno najavo (white hat pristop). To je precej popravilo imidž podjetja. Upamo lahko, da bo tako tudi letos, kajti težave so se vsekakor že začele - najprej v obliki izpad storitev zaradi tehničnih težav njihovega gostitelja Amazon EC2, zdaj pa še s temi emaili.