Dropbox, bug di sicurezza e password opzionale per ore

Dropbox, bug di sicurezza e password opzionale per ore

Dropbox rimane accessibile per circa quattro ore senza la necessità di autenticarsi: sarebbe così stato possibile accedere all'account solo conoscendo l'indirizzo mail

di pubblicata il , alle 09:13 nel canale Sicurezza
 

Nel corso della giornata di ieri il popolare servizio Dropbox è stato colpito da un importante problema di sicurezza: per un periodo piuttosto breve il servizio ha consentito agli utenti di accedere ai propri account senza bisogno di inserire alcuna password. In altre parole: sarebbe stato possibile accedere all'account di chiunque, semplicemente conoscendone l'indirizzo e-mail.

La falla assume dimensioni piuttosto evidenti quando si considera la funzionalità che Dropbox si prefigge: offrire uno spazio sicuro e protetto a dati personali in cloud.

La conferma del problema arriva anche attraverso l'azienda, che commenta l'accaduto attraverso il proprio blog ufficiale. Secondo le informazioni fornite il problema avrebbe aperto una breccia per circa 4 ore, dall'1:54 PM PDT alle 5:46 PM PDT, in seguito ad un code push.

La questione è ora quella di valutare i danni e capire, se possibile, chi ha sfruttato tale breccia. Dropbox afferma che in quelle quattro ore hanno effettuato l'accesso molto meno dell'1% degli utenti e tutte le sessioni sono state salvate per precauzione. Il team di sviluppo sta ora investigando su eventuali accessi illeciti. Tutti coloro che hanno riscontrato o riscontreranno anomalie all'interno del proprio spazio potranno mandare una mail a atsecurity@dropbox.com.

A questo indirizzo, il post sul blog ufficiale Dropbox. La questione riapre il problema relativo alla sicurezza che caratterizza il servizio di clouding per dati ora, a quanto pare, assolutamente giustificata.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
theJanitor21 Giugno 2011, 09:29 #1
certo che si stanno mettendo un pò tutti d'impegno per fare passare la voglia alla gente ad affidarsi a servizi di questo tipo
HostFat21 Giugno 2011, 09:32 #2
Usate Wuala!
Fornisce lo stesso servizio e altri ed è tutto criptato.
Questi tipi di bug non potranno mai avvenire perche "loro" ( il team di Wuala ), non possiede le password e i file arrivano criptati già nei loro server.
Pier220421 Giugno 2011, 09:46 #3
Ma com'è possibile che si sia aperta una falla del genere per 4 ore?

Mi viene da pensare che qualcuno all'interno abbia aperto la falla per fare entrare qualcuno dall'esterno, conoscendo l'indirizzo mail dell'impresa XY in 4 ore ne vedi di cose...

La butto sulla spy story...

Corrompi un tecnico il quale fa in modo che dalle ore x alle ore Y il sistema viene aperto, dall'esterno sanno di questa apertura si inseriscono e scaricano cio che vogliono...

Di esempi eclatanti ce ne sono...

Alla Ferrari i disegni delle monoposto venivano passati alla Mclaren dal capo tecnico Stepney, il quale riceveva mazzette dalla Mclaren e la promessa di un ingaggio...
HostFat21 Giugno 2011, 09:50 #4
Ultimamente alcuni possono aver usato Dropbox per salvare il wallet di Bitcoin.
Se la tua teoria è esatta, molti soldi sono stati rubati ...
Dodopepper21 Giugno 2011, 10:09 #5
Si ma onestamente un'azienda, o chiunque altro, che memorizzi i dati critici su un servizio come db che per limitato spazio di storage è gratuito e che conserva i dati senza crittografare niente, è proprio ingenua...io la uso quotidianamente ma per dati non critici
monkey.d.rufy21 Giugno 2011, 10:13 #6
Originariamente inviato da: Dodopepper
Si ma onestamente un'azienda, o chiunque altro, che memorizzi i dati critici su un servizio come db che per limitato spazio di storage è gratuito e che conserva i dati senza crittografare niente, è proprio ingenua...io la uso quotidianamente ma per dati non critici


stessa cosa per me, lo utilizzo per dati futili
rb120521 Giugno 2011, 10:17 #7
Ma cos'è sta tendenza? Sono gli hacker/cracker che ce l'hanno a morte con il cloud, i sistemisti che mettono su server di cartapesta per problemi loro o che altro?

Se qualcuno ha salvato il wallet.dat con dei bitcoin in chiaro e l'ha messo su dropbox, direi che se lo merita
Muppolo21 Giugno 2011, 11:55 #8
Fantastico 'sto cloud! E' il futuro! Eh, un giorno sarà tutto così!
Sticazzi...
uncletoma21 Giugno 2011, 11:55 #9
Usate Wuala!

Io mi trovo benissimo con Mozy, anche se è solo per i backup (non permette la condivisione). Veloce, rapido e criptato.
/cativo mode on
e se dietro tutto c'e' MS per "aiutare" SkyDerive? :lol:
/cativo mode off
C++Ronaldo21 Giugno 2011, 12:14 #10
non vedo l'ora che una cosa del genere succede con facebuc... sarebbero le 4 ore più divertenti della mia vita

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^