פירצת אבטחה בדרופבוקס מתגברת גם על הנעילה בשני שלבים

לפריצה, שעוקפת בעיקר את הקידוד, אין משמעות אופרטיבית כרגע, שכן היא מאלצת להותיר את המחשב ללא הגנה כלל. מצד שני, הנזק השיווקי לדרופבוקס עשוי להיות משמעותי.

דרופבוקס לעסקים. צילום מסך

דרופבוקס לעסקים. צילום מסך

מסתבר שלפעמים יש צרות בענן גן עדן. שני מדענים הצליחו לחשוף את הקידוד המופעל על צד המשתמש של שירות האכסון בענן הפופולארי דרופבוקס, דבר שיכול להוות מכה אנושה לנסיונות החברה לפנות אל חברות במגזר העסקי ולהזמינן לעשות שימוש בשירותיה.

מכה שיווקית

החדשות החיוביות היחידות פה הן שלא מדובר בהאקרים מרושעים שמנסים לאתר מידע לא-להם. שני המדענים, דהירו קהוליה ופרזמיסלאב ווגרזין הם אנשי מחשבים שוחרי טוב, ואת הממצאים שלהם הם הציגו לא ברשת פושעים אינטרנטית, אלא דווקא בכנס USENIX לאבטחת מידע שנערך מוקדם יותר בשבוע האחרון.

הבעיה המרכזית היא שהשניים הוכיחו שניתן לפרוץ לקוד הפייתון בו נכתב צד הלקוח של הקידוד לדרופבוקס, ולפענח את הקידוד. זאת, למרות שמהנדסי החברה עשו ככל שביכולתם על-מנת למנוע מצב כזה בדיוק. בנוסף, הם הדגימו כיצד אפשר לעקוף את קוד ה-SSL של החברה, ולמעשה לפרוץ לתקשורת של דרופבוקס, כמו גם את הליך הזיהוי בשני השלבים שנועד להגן על החשבונות.

מדרופבוקס עצמה נמסר כי הם מעריכים את תרומת שני החוקרים, אך אינם סבורים שיש לממצאים השלכות משמעותיות על המשתמשים. לדבריהם, ”אנו מאמינים כי המחקר הנוכחי אינו מציג פגיעות בצד המשתמש של דרופבוקס. במקרה שהוצג כאן, קודם כל יהיה צורך להגדיר את המחשב של המשתמש בצורה כזאת שתותיר את המחשב כולו, ולא רק את חשבון הדרופבוקס של המשתמש, פגיע למתקפות רבות“.

בעוד ששום נזק ממשי לא נגרם, כאמור, מדובר בממצאים שהוצגו בכנס מקצועי והשניים אף הבהירו כי יש ממש בדברי החברה ואכן המשתמש יצטרך להשאיר את המחשב שלו פרוץ לחלוטין על מנת שחשבון הדרופבוקס שלו ייפרץ באופן זה, עדיין, הנזק התקשורתי שעשוי להגרם לדרופבוקס כתוצאה מהחשיפה הינו משמעותי.

קחו למשל אותי. אני לקוחה פרטית של דרפובוקס, והאמת שלא ממש אכפת לי שמישהו יפרוץ לסיכומי השיעורים מהאוניברסיטה שאני מעלה לשם לטובת חבריי לספסל הלימודים. שיהיה לו לבריאות. אבל לו הייתי מנהלת עסק, ששוקלת להעביר את הביזנס שלי לשירות הדרופבוקס לעסקים, שהוא שירות בתשלום אותו מנסה החברה לקדם, הייתי חושבת פעמיים בשלב הזה.

Avatar

נועה זהבי רז

נועה רז, בת 30. חיה באינטרנט מאז 1999, חובבת ג'אדג'טים אך לא יודעת מה עושים איתם, וכותבת, בעיקר על כלום.

הגב

3 תגובות על "פירצת אבטחה בדרופבוקס מתגברת גם על הנעילה בשני שלבים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שחר
Guest

נועה, אחסון ולא אכסון (אפשר איכסון רק לדברים מגעילים :) )

משה
Guest

מה זה בדרופבוקס?

xxכגג
Guest

זו בעיה גדולה שאף אתר איכסון (לא משנה בעברית אם כ’ או ח’ = מחסן/אכסניה) לא מציע הצפנה מובנית לחומרים שמועלים אליו.

יש פיתרונות ביניים (וכמובן הצפנה של החומר לפני ההעלאה), אבל עדיין מחכים לשירות שיציע הצפנה אמיתית.

wpDiscuz

תגיות לכתבה: