Błąd w Dropboksie umożliwiał logowanie do dowolnych kont

21.06.2011 11:38, Autor: Michał Majchrzycki (mmaj), Kategoria: News

Na skutek błędu w Dropboksie przez kilka godzin można było zalogować się do dowolnego konta bez znajomości hasła. Twórcy usługi przepraszają i obiecują poprawę bezpieczeństwa.

Przez około 4 godziny teoretycznie każdy internauta mógł zalogować się do dowolnego konta na stronach Dropboksa, podając wymyślone hasło. W ten sposób można było uzyskać dostęp do prywatnych danych użytkowników usługi w chmurze obliczeniowej. Początkowo pojawiły się głosy, że być może doszło do ataku na Dropboksa, jednak producent we wpisie na blogu rozwiał wątpliwości. Błąd w logowaniu do usługi pojawił się podczas aktualizacji kodu. Został on natychmiast naprawiony po wykryciu, jednak nie podano, czy doszło w tym czasie do nielegalnych logowań.

Zdaniem twórcy usługi w godzinach pojawienia się luki, do Dropboksa zalogowało się mniej niż 1 procent użytkowników. Firma cały czas bada problem, zapewnia również, że wprowadzone zostaną dodatkowe zabezpieczenia, które pozwolą wyeliminować podobne błędy w przyszłości. Luka w Dropboksie została wykryta przez Christophera Soghoiana, który już wcześniej krytycznie wypowiadał się na temat bezpieczeństwa usługi. Problem jest szczególnie palący, jako że tego typu rozwiązania opierają się przede wszystkim na ochronie danych w chmurze obliczeniowej. Jeżeli Dropbox nie chce stracić użytkowników, powinien nie tylko szybko reagować na podobne zagrożenia, ale również pracować nad dodatkowymi zabezpieczeniami.

komentarze (37) podobne

r e k l a m a

Komentarze (37)

XeonBloomfield | 21.06.2011 11:39#1

Takiego śmiesznego błędu już dawno nie było...

jebuem | 21.06.2011 11:43#2

hahahaha, to są jaja panowie i panie :)

Wąsaty Linoskoczek (niezalogowany) | 21.06.2011 11:43#3

Teraz wiekszosc czolowych firm chce lokowac wiekszosc danych uzutkownika w chmurze,jako czesc systemu op .Oto przyklad dlaczego nie jest to jeszcze bezpieczne.

kstarski | 21.06.2011 11:44#4

Sonyed, teraz Dropboxed... kto następny? :)

freeq52 | 21.06.2011 11:47#5

Rozumiem zhackowanie, jak w przypadku Sony itd., ale żeby taki błąd? Dowcip miesiąca...

piotrulek | 21.06.2011 11:48#6

zalety chmury :D:D:D ktoś ma jeszcze ochote na OS i dane przechowywane CAŁKOWICIE w chmurze??:))

aptu | 21.06.2011 11:52#7

Ostatecznie skasowałem konto na dropboxie i przeniosłem wszystkie dane do wuali.
Najpierw ściemniali, że tylko użytkownik ma dostęp do swoich danych. Okazało się to nieprawdą, bo każdy pracownik dropboxa może przeglądać te dane, ma zakaz robienia tego, ale technicznie może to robić. Potem jakieś mniejsze problemy z bezpieczeństwem, a teraz taka kompromitacja. Tego już za dużo.

LonngerM | 21.06.2011 11:55#8

A ja korzystam i korzystać będę - nie trzymam tam jakiś bardzo poufnych danych... np zakładki firefoxa - coś co w przypadku utraty będzie bardzo boleć, zajmuje nawet nie 0,5% miejsca - ale wiem, że jak coś to takie rzeczy tam odnajdę.

Mifczu | 21.06.2011 12:09#9

Pewno programiści dla testów "uprościli" system logowania i zapomnieli przywrócić poprzedni kod przed wgraniem. I ot cała tajemnica, głupia wpadka która nigdy nie powinna mieć miejsca.

hivonzooo | 21.06.2011 12:09#10

Dlatego po pierwsze szyfruje się wszystkie pliki, a po drugie - pakuje i ustawia hasła. Wtedy nikt nawet jakby miał podane je na tacy nie mógłby odczytać.

chrome_9 | 21.06.2011 12:12#11

Ciekawe kto będzie korzystał z Dropbox 2 GB skoro Microsoft udostępnia za darmo SkyDrive 25GB. To ponad 10x więcej miejsca. W dodatku wczoraj udostępniono nową wersję napisaną całkowicie w HTML5:

http://www.youtube.com/watch?v=YdhB2u2mOLM

Anonim (niezalogowany) | 21.06.2011 12:17#12

@piotrulek

A co ma do tego chmura, przecież to zwyczajny błąd w zabezpieczeniach dostępu. Taki sam może być na przykład w serwisie pocztowym.

an.szop | 21.06.2011 12:23#13

@hivonzooo
Zapomniałeś dodać, że jeszcze dodaje się spory narzut w postaci danych naprawczych, a do tego jeszcze sumy kontrolne. Do tego przydało by się zrobić "shadow copy" i będziemy w miarę bezpieczni.

Pozdrawiam
Ad.
A potem jak będziemy chcieli się szybko dostać do naszych danych (tu: dokumenty etc), będziemy zmuszeni ocekiwać na wyekstraktowanie całej paczki.

burczymuszek (niezalogowany) | 21.06.2011 12:38#14

też zmieniam dropboxa na wuala.. tam jest to wszystko co drop a w dodatku maja szyfrowanie danych od razu na pc :) klienty aplikacji tez na kazdy system, elagnacko

KONTO USUNIĘTE | 21.06.2011 12:41#15

A podobno MS nie można wierzyć. Ostatnio Command-dos krzyczał, że chmurze MS by nigdy nic nie powierzył.

aptu | 21.06.2011 12:42#16

@hivonzooo
Wuala właśnie działa w podobny sposób. Technicznie jest to bardziej skomplikowane, bo dochodzi bezpieczny sposób udostępniania plików. Ale sprowadza się to do tego, że wszystkie pliki są szyfrowane na komputerze użytkownik i w takiej postaci wysyłane na serwer i nikt oprócz osoby która je zaszyfrowała nie może ich odszyfrować. Oprócz Wuali znam jeszcze jeden podobny serwis, SpiderOak, ale nie podoba mi się ich klient. Wuala ma dobrego klienta z bardzo wygodną funkcją backupu katalogów której nie ma dropbox. Jest też integracja z windowsem podobna do tej z dropboxa.

dmag | 21.06.2011 12:45#17

@chrome_9
Wiadomo, SkyDrive to dużo więcej miejsca za darmo niż Dropbox, ale zauważ, że usługa Microsoftu nadal nie ma oficjalnego, wygodnego klienta jak w Dropboksie, gdzie wystarczy wrzucić pliki do folderu i po sprawie.

Nie komentuję błędu z logowaniem, bo to rzeczywiście tylko ośmieszyło poważną usługę. Z Dropboksa korzystam, ale bardzo rzadko.

Dawidd | 21.06.2011 12:59#18

Załosne. Moje pliki były dostępne dla każdego w kilka godzin. :/

MiL- | 21.06.2011 13:07#19

@chrome_9 - przez klienta dla SkyDrive mało kto tego używa bo jest to po prostu niewygodne. Mogą dać i 500GB ale jak mam wrzucać tam dane przez przeglądarkę ale ten powolny SDExplorer to podziękuję.

Triniti888 | 21.06.2011 13:13#20

SkyDrive ma swojego klienta w postaci Windows Live Mesh. Niestety klienta na Linuksa nie ma i prędko nie będzie. A szkoda, bo chętnie bym jakoś sensownie połączył Debian + SkyDrive.

zbarriver | 21.06.2011 13:22#21

@Triniti888 - Live Mes może i jest ale tylko 5 GB, tyle to ma SugarSync i to zupełnie za darmo

Jaahquubel_ | 21.06.2011 13:27#22

Czemu mówi się (nie tylko tu) o chmurze obliczeniowej? Przecież np. Dropbox niczego nie oblicza.
To, że serwer coś oblicza, to normalna sprawa - ma miejsce zawsze, gdy mamy do czynienia z cienkim klientem. W chmurze to teraz dane są przechowywane.
Skąd więc chmura *obliczeniowa*?

MiL- | 21.06.2011 13:28#23

A czy ktoś może polecić jakiś dysk internetowy, który byłby widoczny w systemie jako dysk sieciowy? Do tej pory używałem SDExplorera z SkyDrive ale od jakiegoś czasu przestało to działać a na dodatek było okropnie wolne. Nie interesuje mnie synchronizacja danych.

Triniti888 | 21.06.2011 13:29#24

@zbarriver
A SkyDrive jest płatny ?

Anonim (niezalogowany) | 21.06.2011 13:40#25

to złe tamto złe i weź tu bądź mądry

Garhuy | 21.06.2011 14:37#26

@chrome_9
A można tam publikować całe katalogi?

@Jaahquubel_
Dlatego, żebyś nie pomylił tej chmury z innymi...

ikkiz_pl | 21.06.2011 14:53#27

kontener truecrypta w folderze dropboxa to jest rozwiązanie.
Błąd błędem, ale tak na prawdę, jak się trzyma swoje dane w chmurze nie zaszyfrowane osobiście, to tak jak by te dane były publiczne (i tak traktuje soje pliki w Dropboxie).
tu jest przepis http://ciacho.pl/2010-dropbox-truecrypt-keepassx-czyli-jak-wyciagnac-wiecej-funk...

przemor25 | 21.06.2011 14:58#28

Fajny ten Dropbox (; strzelili sobie w stopę i to mocno (;

Anonim (niezalogowany) | 21.06.2011 15:02#29

Ja i tak wszystko wrzucam w archiwach 7z z hasłem losowym powyżej 25 znaków. Powodzenia w łamaniu.

MorthEvans (niezalogowany) | 21.06.2011 16:44#30

Kolejny powod, dla ktorego warto szyfrowac swoje dane przed wyslaniem ich w nieznane miejsce ... jesli juz BARDZO chcemy korzystac z takich technologii, jak chmury, bo zasadniczo nie jest to szczegolnie fortunny dla bezpieczenstwa i poufnosci z prywatnoscia pomysl.

b (niezalogowany) | 21.06.2011 17:33#31

d***, jak dla mnie ta usluga juz jest spalona

Zulowski | 21.06.2011 21:53#32

"Ja i tak wszystko wrzucam w archiwach 7z z hasłem losowym powyżej 25 znaków. Powodzenia w łamaniu."

Czekam aż zgubisz plik z hasłami, powodzenia z odzyskiwaniem backupu.

Anonim (niezalogowany) | 21.06.2011 22:20#33

@Zulowski

O tym też pomyślałem ;) Nie bój nic, z natury jestem ostrożny.

MiL- | 22.06.2011 10:20#34

@Anonim - wrzuciłeś plik na Dropboxa? :)

Anonim (niezalogowany) | 22.06.2011 10:27#35

@MiL

Nie, akurat nie^^
Mam ustawiony skrypt do automatycznego backupu i kopiowania na kilka lokalizacji sieciowych i niesiesiowych ;)

sc (niezalogowany) | 22.06.2011 11:19#36

ja tam wole wszystko na gmailu trzymac:P

Paweł3779 | 22.06.2011 12:08#37

Epic Fail :D Ja również korzystam z Dropboxa, ale dosyć sporadycznie, na szczęście nie miałem na nim żadnych ważnych danych w tym czasie... Miejmy nadzieję, że do takiej sytuacji w tej usłudze już więcej nie dojdzie, bo ta luka była akurat śmieszna...

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.