Hacker sem kell, ha maga a tárhelyszolgáltató hibázik

Habár a sajtó mostanában a szinte mértéktelenül elszaporodott hacker(cracker)támadásokkal foglalkozik nagy terjedelemben, az elmúlt hetek talán legsúlyosabb biztonsági incidensét nem külső támadók okozták, hanem egy szolgáltató saját munkatársai, a programkód írói.

Hirdetés

Hétfőn ismerte el hivatalosan a Dropbox online tárhelyet és megosztási, fájlátviteli szolgáltatásokat kínáló cég, hogy programozói hiba folytán rövid ideig nem működött a beléptetést vezérlő autentikációs rendszerük, pontosabban bármilyen karaktersorozat begépelésével be lehetett lépni a szerverekre, és ott bármelyik fiókhoz teljes joggal hozzá lehetett férni (ez azért volt lehetséges, mert a rendszerben nem a felhasználó gépén végzik el a jelszavak titkosítását és feloldását, hanem a saját szervereiken). Az ingyenes verzió esetében 25 millió felhasználóval rendelkező Dropbox közleménye szerint egy rossz frissítés után június 19-én, magyar idő szerint körülbelül 11-től hajnali háromig nyílt meg a rendszer. Amint felfedezték a hibát, azonnal lekapcsolták az összes bejelentkezett felhasználót, majd öt perc alatt javították a rossz kódot: „Ennek soha nem lett volna szabad megtörténnie. Jelenleg épp átvizsgáljuk a rendszerünket, és egyéb, kiegészítő biztonsági megoldásokat fogunk alkalmazni, hogy ez még egyszer ne fordulhasson elő” – írja a hivatalos blogban a cég alapítója és vezetője Arash Ferdowsi.

A vállalat közleménye szerint a fenti időszakban a felhasználók kevesebb mint egy százaléka jelentkezett be a Dropboxra, ezek esetében megvizsgálják, hogy történt-e illegális hozzáférés a tárolt adatokhoz, valamint e-mailben értesítették az érintett felhasználókat, hogy arra kérjék őket, ők is nézzék át állományaikat, tapasztalnak-e valami szokatlant.

Magát a hibát egy felhasználó fedezte fel, aki a Dropbox fórumán jelezte ezt, illetve értesített egy független biztonsági kutatót, Christopher Soghoiant, az Indianai Egyetem doktoranduszát, aki a Pastebin oldalán számolt be a problémáról. Azért Soghoian kapta az értesítést, mivel ő már jó ideje hangosan kritizálja a Dropboxot, májusban írt egy levelet a Szövetségi Kereskedelmi Bizottságnak, melyben elmondja, hogy a cég eltúlozza a szolgáltatás biztonságosságát, ezáltal megtéveszti a felhasználókat (nemrég például még bizonyos alkalmazottak hozzáférhettek a felhasználók adataihoz, illetve engedélyezték a kormányzati szerveknek is a betekintést, ha kérték – ezeken a feltételeken azóta változtatott a Dropbox). Soghoian azt a gyakorlatot is nagy kockázatúnak tartja, hogy a titkosítási kulcs felett a felhasználó teljes kontrollt gyakorol. Egy másik szakember korábban azt kifogásolta, hogy a Dropbox alkalmazása a metaadatokat titkosítás nélkül továbbítja.

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények