22

Błąd w Dropbox pozwalał zalogować się dowolnym hasłem, na dowolne konto.

Wiele ostatnio mówi się o bezpieczeństwie jednej z najpopularniejszych usług pozwalającej przechowywać pliki w chmurze i synchronizować je pomiędzy wieloma urządzeniami. To cena dużej popularności, którą Dropbox musi zapłacić. Podobnie jak w przypadku luk w Windows czy produktach Adobe, zwłaszcza Flash i Adobe Reader, wiele osób patrzy na ręce i wytyka wszystkie potknięcia. Tym nie mniej […]

Wiele ostatnio mówi się o bezpieczeństwie jednej z najpopularniejszych usług pozwalającej przechowywać pliki w chmurze i synchronizować je pomiędzy wieloma urządzeniami. To cena dużej popularności, którą Dropbox musi zapłacić. Podobnie jak w przypadku luk w Windows czy produktach Adobe, zwłaszcza Flash i Adobe Reader, wiele osób patrzy na ręce i wytyka wszystkie potknięcia. Tym nie mniej ostatnia wpadka Dropboxa wygląda na bardzo poważną. Do serwisu można było zalogować się  przy pomocy dowolnego ciągu znaków. Umożliwiało to oczywiście zalogowanie się do dowolnego konta. Problem występował dwa dni temu, przez 4 godziny i był efektem błędu w trakcie aktualizowania kodu, jak poinformował na swoim blogu Arash Ferdowsi, współzałożyciel i CTO Dropboxa. Dodał również, że w trakcie wystąpienia błędu logował się jedynie 1% użytkowników, oraz, że są w trakcie ustalania szczegółów na temat aktywności na tych właśnie kontach.

Może to być poważny cios dla Droboxa. Część użytkowników, pomimo zapewnień, że zabezpieczenia Dropboxa ulegną poprawie, na pewno przejdzie do konkurencji. Wszyscy prawnicy, lekarze, oraz ci, którzy trzymają naprawdę wrażliwe dane w chmurze przeżywają nie mały stres, zastanawiając się, czy ich dane zostały wykradzione.

Błąd ten był naprawdę poważny, ale nie dlatego, że trwał 4 godziny, ani dlatego, że każdy mógł się zalogować, lecz dlatego, że w ogóle wystąpił, obnażył słabość zabezpieczeń Dropboxa. Jeśli taki błąd w ogóle mógł mieć miejsce, to znaczy, że de facto hasło użytkownika nie jest w ogóle konieczne, aby rozszyfrować pliki użytkownika i uzyskać do nich dostęp. Ten błąd to żniwo tego, o czym pisał Szymon Barczak. Jeśli coś teoretycznie może się wydarzyć, to znaczy, że się wydarzy, prędzej czy później. Przyjęcie przez Dropbox założenia, że hasło użytkownika nie jest konieczne do rozszyfrowania jego plików, ponieważ serwis będzie posiadał kopię klucza koniecznego do ich rozszyfrowania, prowadzi właśnie do takich niebezpieczeństw. Gdyby Dropbox nie posiadał kopii klucza koniecznego do rozszyfrowania, taki błąd po prostu nie mógłby się nigdy wydarzyć, co najwyżej skutkiem błędu, do serwisu nie zalogował by się nikt, co jest znacznie mniej kosztowną wpadką.