Dropbox, שוב?

עקב עדכון שביצעה Dropbox בקוד המוצר, הפכו החשבונות בשירות זמינים לכולם במשך 4 שעות תמימות רק באמצעות כתובת המייל – ללא צורך בסיסמא הנכונה. זהו השיא בשורת מחדלי האבטחה שידע השירות עד כה.

מקור: יח"צ

הפעם זה כבר הפך מביך. Dropbox פרסמה אתמול (ב’) בבלוג הרשמי שלה התנצלות על כך שעקב עדכוני קוד שביצעה, התאפשרה גישה לכלל החשבונות של השירות ללא הקשת הסיסמה הנכונה.

הבאג תקף ישירות את מערכת ההרשאות, ואפשר לכל משתמש להכניס את כתובת המייל שלו (או כל כתובת מייל שהיא), להקיש סיסמה, גם אם אינה נכונה או אפילו אם מורכבת רק מאות אחת – ולקבל גישה מלאה לתיקייה.

אבטחת ענן

בעיית האבטחה מגיעה לאחר שורה של בעיות בהן נתקלה החברה לאחרונה, אם כי הפעם מדובר ללא ספק בחמורה ביותר שידעה עד עתה.

בהתחשב בכך שמשתמשים בוטחים בחברת דרופבוקס עם מידע חשוב במיוחד ולעיתים אף רגיש וכשמוסיפים לכך את טענת החברה כי הקבצים הנמצאים על שרת הענן שלה בטוחים יותר מאשר הקבצים במחשב האישי שלכם, מדובר ללא ספק בתקלה מהותית.

מהרגע שעלה העדכון שהכיל את הבאג ועד שזוהה ותוקן עברו כ-4 שעות, בהן היינו יכולים להכנס לחשבונות גם עם סיסמה לא נכונה. החברה טוענת כי פחות מאחוז אחד של המשתמשים היה מחובר באותן שעות, והיא ניתקה את כל החשבונות הפעילים כאמצעי אבטחה. כמו כן, Dropbox בודקת אם היו כניסות חשודות לחשבונות לקוחותיה, וטוענת כי במידה ומישהו נפגע, הוא יקבל הודעה על כך.

כאילו שלא נתקלו במספיק בעיות בזמן האחרון, מחדל האבטחה הנוכחי הוא ללא ספק אחד החמורים שידעה החברה שהסיקור שזוכה לו בכל הקשור לאבטחת מידע ידע כבר ימים טובים יותר. עם צמיחה גבוהה בשנה האחרונה והערכות כי החברה נאמדת בסכום הנע בין 1.5 מיליארד ל-2 מיליארד דולרים, המושפעים שניהם בעיקר מאהדת המשתמשים כלפי המוצר, ייתכן ובעיות האבטחה יעיבו על קצב הצמיחה של השירות ויגרמו למשתמשים לפזול לאלטרנטיבות.

אז מה עושים?

במידה ואינכם מוכנים לוותר על הנוחות שמציעה חברת דרופבוקס, באפשרותכם לעבות את האבטחה מהצד שלכם. בתנאי השימוש המופיעים באתר החברה מופיע סעיף שבאפשרותכם להוסיף שכבת הצפנה נוספת לקבצים, על מנת שיהיו מוגנים “בתנאים שלכם”.

ניתן להוריד תוכנות המציעות הצפנת תיקיה ספציפית שאותה תעלו לדרופבוקס, כגון SecretSync, אך במידה ואינכם סומכים על עוד שרת ענן שיאבטח את המידע שלכם, אתם יכולים להשתמש בתוכנת TrueCrypt על מנת להצפין את הקבצים ידנית ורק אז להעלות אותם לשרת. בדרופבוקס ויקי מופיע הסבר מפורט כיצד ניתן להתקין את התוכנה וכיצד ליצור בעזרתה תיקייה מוצפנת.

נדמה כי התדמית של דרופבוקס מתחילה להסדק גם בפני המעריצים המושבעים שלה, והיא תצטרך לעבוד קשה על מנת לשקם את הנזק שנגרם לה.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

2 תגובות על "Dropbox, שוב?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
USER
Guest

No Cloud
Yes Local

פילוני
Guest
“בהתחשב בכך שמשתמשים בוטחים בחברת דרופבוקס עם מידע חשוב במיוחד ולעיתים אף רגיש וכשמוסיפים לכך את טענת החברה כי הקבצים הנמצאים על שרת הענן שלה בטוחים יותר מאשר הקבצים במחשב האישי שלכם, מדובר ללא ספק בתקלה מהותית.” אהבתי את המשפט הזה, אני עדיין מתקשה להאמין שיש משתמשים כ”כ תמימים (או שבוחרים להתמם?) ובוטחים בכלל בשירותי ענן כלשהם (לא משנה מי הספק) עם המידע שלהם, ולא מדובר בסתם מידע כמו שירים, או כל מיני קישורים לאתרים, אלא מידע אישי, קריטי כמו מסמכים, עבודות או תוכניות עסקיות ודברים שיקרים ללבכם, את זה אסור לשים בשום שירות ענן ולא משנה איזו אבטחה מבטיחים… Read more »
wpDiscuz

תגיות לכתבה: