Berta Sándor

Szoftverfrissítési hiba miatt bármilyen jelszót elfogadott a Dropbox

A tárhelyszolgáltatásnak eddig nem kellett szembenéznie komolyabb fennakadásokkal, azonban most négy órán keresztül teljesen védtelen volt a külső támadásokkal szemben.

Arash Ferdowsi, a Dropbox alapítója és technikai ügyekért felelős vezetője blogbejegyzésben számolt be arról, hogy egy szoftverfrissítés miatt a szolgáltatás négy órán át gyakorlatilag bármilyen jelszót elfogadott a belépéskor. Állítása szerint szerencsére a hibát nem használták ki bűnözők, mert különben veszélyben lehettek volna a felhasználók adatai. Az érintett időszakban csupán a tagok egy százaléka jelentkezett be, így a regisztrált emberek többsége nem is értesült a hibáról. A szoftverfrissítést időközben már kijavították.

Ferdowsi elnézést kért a történtek miatt és azt hangsúlyozta, hogy ilyesminek soha nem lett volna szabad megtörténnie. Közölte: tanultak a hibából, megerősítik az ellenőrzésekért felelős rendszert és további biztonsági szintekkel egészítik ki. A munkatársaik jelenleg is elemzik a naplófájlokat. A TechCrunch tudósítása szerint csupán néhány felhasználó szembesült a hibával, voltak, akik különböző fórumokban írták le a tapasztalataikat. A szolgáltatás üzemeltetői most is vizsgálják, hogy történtek-e esetleges visszaélések.


A tagokat felszólították arra, hogy ha felmerül a gyanúja az illetéktelen hozzáférésnek, akkor azonnal lépjenek kapcsolatba az oldal ügyfélszolgálatával. Ez az eset is rávilágított arra, hogy önmagukban közel sem biztonságosak ezek a szolgáltatások és nem véletlenül ajánlják a szakemberek, hogy a feltöltés előtt a felhasználók titkosítsák a fájljaikat. A sikerét az egyszerűségének köszönhető Dropboxszal kapcsolatban egyébként ez már a második adatvédelmi szempontból aggályos ügy, hiszen május közepén felmerült a gyanúja annak, hogy az online tárhelyszolgáltatás nem az ígért mértékben védi a felhasználók adatait, ezért egy biztonsági szakértő hivatalos vizsgálatot szorgalmazott az ügyben.

A Dropboxot jelenleg 25 millióan használják, akik több mint 200 millió fájlt tárolnak a segítségével. Christopher Soghoian biztonsági szakember azt követelte a vállalattól, hogy a jelenleginél erősebben védje ezeket az adatokat. A szakértő többek között azt kifogásolja, hogy a cég állítása szerint minden feltöltött fájlt 256 bites AES titkosítással védenek és az anyagokhoz még a vállalat munkatársai sem férhetnek hozzá. Ezzel szemben a valóság az, hogy idén április 21. óta a szolgáltatás már nem reklámozza magát így. Az ok egyszerű: a Dropbox blogjában megjelentette azt az információt, miszerint megváltoztatta az Általános Üzleti Feltételeit, s így elvileg a tárolt fájlokat akár az amerikai kormánynak is továbbíthatja.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • deni3 #3
    Ez durva. Szerencsére én egyrészt csak úgy titkosítatlanul nem tárolok semmi érzékeny dolgot idegen gépen, másrészt meg nem is a Dropboxot használom, hanem a kicsit jobb Sugarsync-et (5 GB ingyen, tetszőleges mappa szinkronizálható, multi platform stb.). Aki kipróbálná, kap még 500 MB-ot (meg persze én is), ha rajtam keresztül regisztrál: https://www.sugarsync.com/referral?rf=dhkixkci6g3zr
  • gombabácsi #2
    én meg úgy szoktam, hogy automatizálok minden ilyensmit
    release-be sose mehet ki debug céllal berakott izé
    legalábbis 20 éve így csináltam amikor még aktívan kódoltam, azóta persze biztos sokat fejlődött a világ :o)
  • TheLostOne #1
    Azért ez durva...

    Ha van egy kis eszük, biztos nem adatbázislekérés szűrőfeltételeként implementálják a jelszóellenőrzést, hiszen minden SQL Injection tutorialban egy ilyen ellenőrzés támadását mutatják be. Még ha szűrve vannak a bemeneti mezők, akkor sem célszerű ennyire közismert és pofonegyszerű ellenőrzést használni.

    A saját rendszerem pl a megadott felhasználónév alapján lekéri a komplett rekordot függetlenül a jelszó helyességétől, majd azt csak később ellenőrzi egy if szelekcióval. Direkt nézegettem most a kódomat, hogy mit tudnék elbaszni véletlenül, hogy ez a hibajelenség előállhasson ami a Dropboxnál.

    Arra a következtetésre jutottam, hogy a C nyelvcsaládban használatos == (egyenlő -e) jelből csináltak valahogy véletlenül = (legyen egyenlő) jelet, ami ugye egy if szelekció feltételeként megadva is érvényre jut, sikeres értékadási művelet esetén TRUE visszatérési értéket adva. Ha ez történt, márpedig akárhogy nézek egy megfelelően biztonságos authentikációs ellenőrzést más nem történhetett, akkor az egyszerűen nevetséges. Az IDE amit használok ordít, ha szimpla egyenlőségjelet írok egy szelekcióba (sokszor szándékosan, resource hozzárendelés + művelet sikerességének ellenőrzése), lehetetlen nem észrevenni.