DropBox נפרצת, שוב

כלי חדש מציע את הפרצה האולטימטיבית ל-Dropbox, בנוסף לגישה לקבצים המאוחסנים ברשת מתווספת גישה לכתובות מייל, זהות המשתמש, תיקיות משותפות ועוד מגוון דברים. האם נמשיך להשתמש בשירות?

Flickr, cc-by, Mykl Roventine

נדמה כי בזמן האחרון Dropbox נתקלת בהרבה בעיות אבטחה, ומסכנת את פרטיות המשתמשים שלה. גם הפעם נפתחה הגישה לקבצים פרטיים המאוחסנים ברשת, ואפילו נבנה כלי מיוחד העוזר לבצע את הפריצה.

Dropbox Reader נוצר ככלי משפטי במטרה לאפשר גישה וקריאה לקבצי ראיות הנמצאים על השרת המקוון של החברה. הוא מורכב מאוסף שורות קוד בשפת פייתון, ומטרתו היא לעזור לבלשים טכנולוגיים בהשגת וקריאת ראיות. אך סביר להניח שככל שיותר אנשים ידעו עליו, כך ינוצל גם לרעה.

פרצה בחוק

החברה האחראית על פיתוח הכלי, ATC-NY מתמחה באבטחה, אמינות מערכות וניהול מידע. היא מפתחת מגוון רחב של כלים המיועדים לקהילה המשפטית, ומטרתה המקורית היא לעזור בלוחמה קיברנטית. אז אם המטרה של החברה היא לעזור, היכן מתעוררת הבעיה?

עיקר הסיכון נמצא בזמינות. כלי ה-Dropbox Reader מוצע להורדה לכלל הציבור, בחינם וללא צורך בהרשמה מכל סוג שהיא. החברה תיארה את אופן פעילות הפונקציות השונות, וביניהן מאפשרת גישה ישירה לכתובת האימייל של המשתמש, זהותו ב-Dropbox, גרסת התוכנה בה הוא משתמש, רשימת הקבצים הפרטיים והמשותפים המקושרים לחשבון ועוד הרבה אפשרויות נוספות המפרות את פרטיותנו.

חשופים לכולם

הכלי מורכב מסדרה של שישה סקריפטים הכתובים בפייתון איתם ניתן לנתח את הקונפיגורציה וה-Cache של Dropbox בשלוש פלטפורמות שונות, Windows, OS X וכמובן Linux. בעזרתו ניתן לצפות ברשימת הקבצים ששונו בקובץ config.db אפילו ללא הקבצים הפיזיים, ולצפות בקבצים שמיועדים לסנכרון בתיקיות משותפות הנמצאים תחת קובץ filecache.db.

אמנם מדובר בכלי שמיועד לשימוש חוקי, אך במידה ומישהו הצליח לפרוץ לכם למחשב שבו מותקנת התיקיה, או אם התקנתם את התוכנה במחשב משותף ואז ביצעתם תהליך מחיקה – עקב השינוי שנעשה ב-Registry של Windows ונשמר בתיקיית ההתקנה (שאינה נמחקת לאחר ביצוע Uninstall), ניתן יהיה לשחזר את המידע, או לפחות את חלקו.

דרופבוקס שינתה את תנאי השימוש של המוצר לפני זמן מה, דבר שעורר מהומה גדולה בקרב משתמשיה. החברה אמנם הצהירה כי אפילו לעובדיה אין גישה למסמכים המאוחסנים, והיא משתמשת באותם אלמנטים של אבטחה שבהם משתמשים הבנקים וצבא ארצות הברית, אך במידה וממשלת ארצות הברית תגיש צו על מנת לקבל גישה לאחד הקבצים, למשתמש לא תהיה אפשרות אלא לתת לה את הגישה.

בעזרת הכלי החדש, כל 25 מליון המשתמשים של השירות נמצאים בסכנת פריצה. המידע המאוחסן, כתובות האימייל ומידע רגיש נוסף יכול להיות זמין לא רק לעובדי החברה או לבעלי צו משפטי, אלא לכל מי שמעוניין בכך.

בעקבות כל המהומות המתעוררות סביב החברה והאבטחה “הלקוייה” שהיא מציעה למשתמשיה, קיימת תחושה שבמידה ויקום מתחרה ראוי שיוכל להציע חווית שימוש דומה ואפשרויות שיתוף נוחות, המשתמשים לא יחשבו פעמיים לפני שיעברו אליו ויזנחו את Dropbox.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

9 תגובות על "DropBox נפרצת, שוב"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוני כץ
Guest

מבאס לשמוע אחרי שהשבוע נרשמתי לשירות

נברא
Guest

בפעם שעברה הסתבר שהפרחתם בלון עיתונאי מלא בשום-כלום. ומה הפעם?

יהונתן
Guest

מהיכן המידע שאפשר להאזין למי שנמצא עמך ברשת? אני הורדתי את הקבצים וזה מאפשר, במקרה הטוב, לקרוא את הקבצים שלי ושל המשתמש הנוכחי על המחשב.

משה
Guest

לעלוב או לא לעלוב?
אני אשאיר את זה לאחרים.

אלון
Guest

כל מה שהכלים מאפשרים זה לפרוץ את הקבצים הלוקאלים, במידה ומישהו שיתף איתי תיקיה אני יכול לפרוץ אליו לחשבון או שמישהו שיתף קובץ בצורה פומבית והוספתי את זה לדרופבוקס שלי. איך בידיוק אני פורץ עם סקריפט של פייטון לוקאלית לחשבונות של יוזרים אחרים פרט לשלי?

כמו כן, הוא יכול להוציא במקסימום את המייל של היוזר ולא מעבר לזה.

אלון
Guest

הפריצה הזאת באה כתהליך משלים לפריצה הקודמת של חיבור המחשב לחשבון דרופבוקס של מישהו אחר והורדת הקובץ config.db המדובר.

יהונתן
Guest

אני שמח שתיקנתם את הפוסט, אבל זה לא מקצועי להשאיר את הכותרת “דרופבוקס נפרצת” כשברור שאין פריצה.

אגב, גם המשפט “גם הפעם נפתחה הגישה לקבצים פרטיים המאוחסנים ברשת, ואפילו נבנה כלי מיוחד העוזר לבצע את הפריצה” לא ממש נכון.

רם פרס
Guest

מצטרף לתגובות הקודמות. אתם נתפסים בעיני כעיתונות ״מבינת עניין״.. אז בבקשה תשאירו את הכותרות המנופחות ל ynet ותחזרו לעסוק בחדשות טכנולוגיות.

יגאל
Guest

שוב יש כותרות ענק של “פריצה בדרופבוקס” וכשקוראים קצת מבינים ששום דבר לא פרוץ. וכדי “לפרוץ” לדרופבוקס צריך לפרוץ למחשב של הקורבן. אז איפה בדיוק הפירצה?

wpDiscuz

תגיות לכתבה: